Google、Chrome 95.0.4638.54リリース - FTPサポートを完全に削除

Google Chromeチームは10月19日(米国時間)、Webブラウザ「Google Chrome」の最新版となる「Chrome 95.0.4638.54」をリリースした。この新バージョンでは、かねてより計画されていた通りにFTPのサポートが完全に削除されており、Chrome 88以降も非推奨として残されていた機能についても利用できなくなっている。そのほか、CVEベースで合計19件の脆弱性の修正が行われた。

• Google Chrome 95.0.4638.54 for Mac

GoogleではChromeにおけるFTPのサポートを終了する方針を発表しており、Chrome 72以降、順次、関連機能を削除または非推奨にしてきた。従来のFTP実装がセキュアな接続をサポートしておらず、またWebブラウザのFTP機能は使用頻度が低く積極的に開発リソースを割けないことなどが理由として挙げられている。FirefoxやEdgeなどの他のブラウザでも、同様の理由でFTPのサポートが廃止されている。

Chrome 94の時点では、FTP実装のいくつかの機能は非推奨にされたまま残されていたが、95のリリースによってそれらの実装もコードベースから完全に削除され、利用することができなくなっている。現在、ChromeでURLが「ftp://」で始まるWebサイトにアクセスした場合、外部アプリで開くことを許可するかどうかのプロンプトが表示されるようになっている。ChromeにおけるFTPサポート削除のステータスは、次のページにまとめられている。

• Remove FTP support - Chrome Platform Status

Chrome 95.0.4638.54では、FTPサポートの削除のほか、合計19件の脆弱性の修正が行われた。詳細は次のリリースノートにまとめられている。

• Chrome Releases: Stable Channel Update for Desktop

このリリースで修正された脆弱性のうち、情報が公開されているものは以下の通り。

• CVE-2021-37981: 2DグラフィックスライブラリSkiaにおけるヒープバッファオーバーフロー
• CVE-2021-37982: シークレットモードにおける解放後のメモリ使用（Use After Free）
• CVE-2021-37983: 開発者ツールにおける解放後のメモリ使用
• CVE-2021-37984: PDFレンダリングエンジンのPDFiumにおけるヒープバッファオーバーフロー
• CVE-2021-37985: JavaScriptエンジンV8における解放後のメモリ使用
• CVE-2021-37986: 設定におけるヒープバッファオーバーフロー
• CVE-2021-37987: ネットワークAPIにおける解放後のメモリ使用
• CVE-2021-37988: プロファイルにおける解放後のメモリ使用
• CVE-2021-37989: HTMLレンダリングエンジンBlinkにおける不適切な実装
• CVE-2021-37990: WebViewにおける不適切な実装
• CVE-2021-37991: V8における競合
• CVE-2021-37992: WebAudioにおける範囲外のメモリ読み取り
• CVE-2021-37993: PDFアクセシビリティにおける解放後のメモリ使用
• CVE-2021-37996: ダウンロードにおける、信頼できない入力の不十分な検証
• CVE-2021-37994: iFrameサンドボックスにおける不適切な実装
• CVE-2021-37995: WebAppインストーラーにおける不適切な実装

上記の脆弱性のうち、5件は影響度が「High(高)」、9件は「Medium(中程度)」に指定されている。Chromeを利用しているユーザーは、脆弱性の影響を回避するためにできるだけ早くアップデートすることが推奨されている。