Windows用Safari「絨毯爆撃」の脆弱性実証コードが公開される

　Safariが持つ「絨毯爆撃」と呼ばれるセキュリティホールの深刻さに対してAppleが現在取っている受け身の立場を変えさせようとする試みだと思われるが、Liu Die Yu氏のセキュリティブログで実際に動作する脆弱性実証コードが公開された。

　Nitesh Dhanjani氏はWindows用Safariが自動的にデスクトップにダウンロードを行うことを発見し、これがデスクトップを混乱させる可能性があるとして、この効果を「Safari Carpet Bomb（Safari絨毯爆撃）」と呼んだ。その後Microsoftは「Windows XP および Windows Vista のサポートしているバージョンに対するリモートで攻撃」および「マイクロソフトと協力し、Safari および Microsoft Internet Explorer の複合的な脅威について報告してくださった Aviv Raff 氏」について述べる勧告を発表した。Aviv Raff氏は同氏のブログに「SafariがInternet Explorerを侵している」とし、「この複合攻撃は、古いバージョンのInternet Explorerの脆弱性も悪用でき、私はこれをずっと前に報告している」と書いている。

　Aviv Raff氏がMicrosoftにかなり前に報告したという古い脆弱性は、Aviv Raff氏の書いた2つの記事で説明されている（IE7 DLL-load hijacking Code Execution Exploit PoCおよびInternet Explorer 7 - Still Spyware Writers Heaven）。これらは両方とも2006年のものだ（そう、確かにこれは「ずっと前」のことだ）。この脆弱性は、Windows Internet Explorerがプログラムライブラリファイル（DLL）を、そのファイル名を特定の値に設定すると、自分自身のライブラリファイルフォルダ（通常はC:\WINDOWS\SYSTEM32）ではなく、ユーザーのデスクトップから読み込んでしまうというものだ。

　Liu氏のブログには、Microsoftの説明する「複合的な脅威」とは異なる、新しいWindows用Safariに関するセキュリティ上の脅威を説明する記事や、今回の失態の責任がどこにあるかを簡単にまとめた記事が投稿されている。

　Windows用Safariはデフォルトではダウンロードファイルを（IEの「ファイルのダウンロード」ダイアログボックスのような）ダイアログボックスの表示なしにデスクトップに置く。まあ、デフォルトでは要求されたファイルをユーザーのデスクトップにダウンロードして保存するというのは、実際には非常に合理的で便利な機能ではある。本当にこの「複合的な脅威」の原因となっているのは、Windows Internet Explorer（そしておそらく他のプログラム）のプログラムライブラリファイルの読み込みの問題だ。

　研究者やマルウェア対策グループが公にこの脆弱性を悪用する可能性を示している状況では、Appleの受け身の態度は、彼らの広告部隊の働きによる彼らのソフトウェアの無敵さのイメージに悪影響を与える可能性を考慮に入れれば、ベンダーがどれほどそれを嫌おうと、攻撃方法に関する完全な情報開示でしか変えることはできないだろう。不可能なことは何もなく、「不可能」なことをするには少し長く時間がかかるだけのことであり、もっとも安全だと宣伝されているソフトウェアにバグを見つけることも不可能ではないのだ。

　では、安全のためにはどうしたらよいだろうか。クリックする際に注意するか、ブラウザのデフォルトのダウンロード場所を変更するか、まずこの脆弱性が注意を引き、それからこの問題が修正されるまで、Windows用Safariの利用を避けることを検討することだ。