5月16日(米国時間)、Threatpostに掲載された記事「Chrome Browser Hack Opens Door to Credential Theft |Threatpost|The first stop for security news」が、Google Chromeにユーザー名およびハッシュ化されたパスワードの漏洩につながる脆弱性が存在すると伝えた。この脆弱性からSMBリレー攻撃につなげていくことが可能とのことで、注意が必要。

この脆弱性はSCFと呼ばれる種類のファイルを処理する仕組みを利用したもので、DefenseCodeというベンダーのセキュリティエンジニアが発見した。攻撃者はこのファイルへアクセスするリンクを踏ませることで攻撃を実施できると説明がある。一旦攻撃が成功してユーザー名とハッシュ化されたパスワードが攻撃者に取得されると、攻撃者はこのデータを使って別の攻撃を仕掛けていくことが可能だとされている。

本稿執筆時点では、アップデートが実施された最新のWindows 10およびGoogle Chromeを使っていたとしても、この脆弱性の影響を受けると説明がある。今後のセキュリティアップデートに注力するとともに、アップデートが提供された場合は迅速に適用することが望まれる。