• メールアドレス:
  • パスワード:
ZDNet Japanからのお知らせ
セキュリティ
+
 TOP
+
 
  • チャネルを指定:
  • 日付を指定:
  •  〜 

アップルがクロスサイトスクリプティングを防止するSafariのパッチを公表

文:Larry Dignan(ZDNet.com)
翻訳校正:石橋啓一郎
2008/03/19 15:52

トラックバック(0)

ブックマーク(-)

印刷用ページ

 Appleは米国時間3月18日、Tiger、Leopard、Vista、XP用のSafariに対して、コード実行やクロスサイトスクリプティングなどの脆弱性を修正する13件のパッチを含むアップデートを公開した。

 Appleは歴史的に、パッチを新機能やソフトウェアのアップデートと同時に提供してきた。このため、新しいSafariに関する騒ぎの中で、セキュリティの話が忘れられてしまう危険もある。最新のアップデートで修正された脆弱性は、次の通りだ。

 CVE-2008-1010:このアップデートはMac OS X v10.4.11、Mac OS X v10.5.2、Windows XP、Vista用のもので、Webkitに関する問題を修正する。Appleによれば、この問題は悪意を持って作られたウェブサイトを閲覧ことで、予期しないアプリケーションの終了や任意のコード実行が引き起こされる可能性があるというものだ。詳細は次の通りだ。

 WebKitにはJavaScriptの正規表現の処理に、バッファオーバーフローの問題が存在する。ユーザーに悪意を持って作られたウェブページを閲覧させることで、予期しないアプリケーションの終了や任意のコード実行が引き起こされる可能性がある。今回のアップデートでは、境界チェックを改善することでこの問題に対応している。この問題を報告してくれたのは、WebKit Open Source ProjectのEric Seidel氏、Google Security TeamのTavis Ormandy氏およびWill Drewry氏である。」

 CVE-2008-1011:これはWebkitに存在するクロスサイトスクリプティングの問題を修正するものだ。このアップデートが提供されているのは、Mac OS X v10.4.11、Mac OS X v10.5.2、Windows XP、Vistaだ。Appleは次のように述べている。「WebKitにあるクロスサイトスクリプティングの問題は、あるフレームのメソッドインスタンスを別のフレームのコンテクストで呼び出すことができるというものだ。ユーザーに悪意を持って作られたウェブページを閲覧させることで、秘密情報が開示されてしまう可能性がある。このアップデートは、ドメインを超えたメソッドの呼び出しの処理を改善することでこの問題に対応している。この問題を報告してくれたのはDavid Bloom氏である。」

 他のCVEは、すべて同じクロスサイトスクリプティングの問題の変形だ。CVE番号と副作用は次の通りだ。

 Safari(CVE-2008-1002):このアップデートは、JavaScriptのクロスサイトスクリプティング問題を修正する。影響のあるプラットフォームは、Tiger、Leopard、XP、Vistaだ。Appleは次のように述べている。

 "JavaScript:"から始まるURLの処理に、クロスサイトスクリプティングの問題が存在する。ユーザーに悪意を持って作られたウェブページを訪問させることで、他のサイトのコンテクストでJavaScriptを実行させることが可能となる。今回のアップデートでは、"JavaScript:"から始まるURLに対し検証処理を追加することでこの問題に対応している。この問題を報告してくれたのはGoogle Information Security TeamのRobert Swiecki氏である。

 Webcore(CVE-2008-1003、CVE-2008-1004、CVE-2008-1005、CVE-2008-1006、CVE-2008-1007、CVE-2008-1008、CVE-2008-1009):これらのアップデートは、Leopard、Tiger、XP、Vistaさまざまなクロスサイトスクリプティングに対する脆弱性の問題に対応するものだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

トラックバック(0)

ブックマーク(-)

印刷用ページ

この記事を読み解くキーワード:
セキュリティ情報
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
関連製品
 

セキュリティ トピックス

Firefox 2の12件の重大な脆弱性を修正するパッチが公表される

Firefox 2に対するセキュリティアップデートが公表されている。このアップデートには、重大度が「最高」のもの5件を含む、12件の脆弱性に対する修正が含まれている。 2008/07/03 08:11 【Zero Day

MS、Officeのサブスクリプションサービス「Microsoft Equipt」を発表

マイクロソフトは、OfficeとOneCareをセットした、年額69ドルで利用できる新サブスクリプションサービス「Microsoft Equipt」の発売をアナウンスした。オンラインでの販売やアップグレードの提供など、将来的には、さらなる販売チャンネルの拡大も計画されている。 2008/07/03 08:10 【ソフトウェア

 

ホワイトペーパー

ネットワークアクセスコントロール 〜すべてのエンドポイントからのアクセスを管理してセキュリティギャップを回避
提供:ソフォス
LANDesk ユーザ事例 東電環境エンジニアリング株式会社
提供:LANDesk Software
管理担当者様のためのメールシステム構築・運用事例セミナー<抄録> 日時2007年8月28日(火) 15:00〜17:00 新木場センタービル2F サファイア
提供:NECソフト
Juniper Networks SSGシリーズ ご説明資料
提供:日立システムアンドサービス
Exchange Server 2007 カタログ
提供:マイクロソフト
統合されたシステム管理導入によるROIメリットの定量化 -LANDesk Software 株式会社-
提供:LANDesk Software
ネットワークセキュリティの基礎
提供:APCジャパン
【導入事例】-TIS様 Novell eDirectoryで4,500人のユーザーIDを一元管理一層のセキュリティ強化を実現
提供:ノベル

イベント

プレスリリース

最新記事

企画特集

「未来の、その先」をどう提言していくか「未来の、その先」をどう提言していくか
クラウドコンピューティングが導く新しいシステム
ZDNet Japan Green ITZDNet Japan Green IT
洞爺湖サミット目前!環境に配慮したGreen ITとは?
DELL連載第4回〜「Microsoft System Center」DELL連載第4回〜「Microsoft System Center」
PowerEdgeサーバに最適な運用管理ソリューション後編
今知るべき仮想化情報今知るべき仮想化情報
インフラからアプリケーションまで、これを知らずに仮想化は語れない
Techno ExchangeTechno Exchange
全体最適化で進めるCTCのグリーンIT戦略
スパムメール検出率No.1
強固なスパムメール対策と積極的防衛
ブレードPCでクライアント統合
セキュリティ、TCO削減、グリーンITを一挙解決
満足度が高いのは、「使いこなせる」ERP
あのレストランチェーンや通販会社が選んだ決め手は?

ブログ

ブログ RSS Feed
洞爺湖と環境と私
裏方の裏方日記〜日々是広報 2008/05/20 12:57

IT製品比較

IT製品で御社の問題を解決:

営業力不足
業務効率低下
貧弱なネットワーク

コスト増大
情報力不足
ネット販促の不振

注目トピックス From CNET Japan

プロがなぜ、二次創作を願うのか--Gacktが歌い、三浦建太郎が描く「がくっぽいど」
ミュージシャンのGacktさんと漫画家の三浦建太郎さんという2人のプロが参加しながらも、ユーザーが自由に作品を公開できるという歌声合成ソフト「がくっぽいど」。この開発経緯を開発元に聞いた。
iPhone、月額通信料金は7280円からに--ソフトバンクモバイルが発表
UPDATE ソフトバンクモバイルはiPhoneの通信料金プランを発表した。月額980円のホワイトプランに、データ定額制プラン「パケット定額フル」、「S!ベーシックパック(i)」をあわせ、月額7280円からとなる。
ジョブズ氏引退後のアップルを考える
カリスマ的な創業者が社を去った後、会社の業績が低迷する事例は、ハイテクだけでなく、さまざまな業界で見られる。アップルは「ジョブズ氏後」に備えているのかどうか検討する。
シーネットネットワークスジャパンについて
Copyright ©1995-2008 CNET Networks, Inc. All Rights Reserved.