Appleが「Safari 4」ウェブブラウザのアップデートをリリースし、攻撃者によるクロスサイトスクリプティング攻撃の実行やユーザーシステムの乗っ取りに悪用される恐れのある2件の深刻な脆弱性を修正した。
アップデート版の「Safari 4.0.2」は、米国時間7月8日に公開された。独立系セキュリティベンダーであるSecuniaは、アップデートで修正されたこれらの脆弱性について、「きわめて深刻(highly critical)」と評価していた。これらのバグは、「Windows」版と「Mac」版のSafariに影響を与える。
これらの脆弱性は、いずれもSafariで使用されているオープンソースのレイアウトエンジン「WebKit」に影響を与える。Appleは発表の中で、2件のバグのうち、より深刻なのは、WebKitの数値文字参照の処理時にメモリ破損が発生する問題の方で、攻撃者はこのバグを悪用すれば、特別な細工を施したウェブサイトを通して、ユーザーのシステム上で悪意のあるコードを実行できると忠告している。また、この脆弱性を悪用することで、侵入者がアプリケーションを強制終了することも可能になる。
2つ目のバグは、WebKitが親オブジェクトやトップオブジェクトを処理する際の入力検証の問題だ。この脆弱性によって、ウェブサイトが別のウェブサイトのセキュリティコンテキストで、HTMLやスクリプティングコードを実行することが可能になる。この手法は、クロスサイトスクリプティング攻撃として知られている。「今回のアップデートでは、親オブジェクトおよびトップオブジェクト処理の改善によって、この問題に対処している」とAppleは発表の中で述べた。
これらのバグは、アップデート版の4.0.2では修正されている。Appleによると、このアップデートは、同社サイトの「Apple Downloads」ページからダウンロードできるほか、「Mac OS X」の「Software Update」経由で入手することも可能だという。
高速化されたJavaScriptエンジン「Nitro」などの新機能を搭載したSafari 4は、6月に正式版としてリリースされた。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
