Appleが米国時間6月22日、「Safari 3.0.2 for Windows beta」をリリースした。今回のバージョンでは日本語の表示が可能になっている。約一週間前には、「Safari 3.0.1 for Windows beta」が公開されたばかりだった。このたびのパッチは、「Apple Mac OS X」のほか、「Windows XP」および「Windows Vista」も対象としており、Safari 3.0のベータ版を利用するMac OSユーザーに対応した「Apple Security Update 2007-006」と同じ修正も含まれている。
Safari向けのパッチ
Windows XPおよびVistaのユーザーが対象で、Mac OS Xには対応していない。「CVE-2007-2398」の脆弱性に対応する。Safari Beta 3.0.1 for Windowsには、正規のページコンテンツをロードせずに、アドレスバーを偽装できてしまう不具合があった。このアップデートを見つけたRobert Swiecki氏だが、謝辞は、アップデートに記載されていない。攻撃者はこの脆弱性を悪用し、悪意なウェブサイトを使ってアドレスバーの内容をコントロールすることができる。
Safari向けのパッチ
もう1つのパッチはMac OS X 10.4.9以降、Windows XPもしくはVistaのユーザーを対象とする。「CVE-2007-2400」の脆弱性に対応する。この脆弱性は、悪意のあるスクリプトをリダイレクト先のページに混入することを可能にする。悪用されるとクロスサイトスクリプティング攻撃が可能になる。
WebCore向けのパッチ
このパッチはMac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.9以降、Mac OS X Server v10.4.9以降、Windows XP、Windows Vistaを対象とする。「CVE-2007-2401」の脆弱性に対処する。この脆弱性は、XMLHttpRequestにおけるHTTPリクエストのヘッダ処理にある不具合が原因で、HTTPインジェクションが可能になってしまうというもの。悪用されると悪質なサイトへのクロスサイトリクエストが可能になる。
Patch for WebKit
このパッチはMac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.9以降、Mac OS X Server v10.4.9以降のユーザーが対象。「CVE-2007-2399」の脆弱性に対処する。フレームセットレンダリング時の扱いに不具合があり、メモリが破損する恐れがある。ユーザーが悪質なウェブサイトを訪問すると、DoS(サービス拒否)攻撃を受けたり、任意のコードを実行される可能性がある。
最新版のSafari for Windows betaは、こちらのAppleサイトからダウンロード可能。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
