編集部からのお知らせ
新着PDF:「Emotetの脅威」
新着記事まとめ「6G始動?」

アップルがクロスサイトスクリプティングを防止するSafariのパッチを公表

文:Larry Dignan(ZDNet.com) 翻訳校正:石橋啓一郎

2008-03-19 15:52

 Appleは米国時間3月18日、Tiger、Leopard、Vista、XP用のSafariに対して、コード実行やクロスサイトスクリプティングなどの脆弱性を修正する13件のパッチを含むアップデートを公開した。

 Appleは歴史的に、パッチを新機能やソフトウェアのアップデートと同時に提供してきた。このため、新しいSafariに関する騒ぎの中で、セキュリティの話が忘れられてしまう危険もある。最新のアップデートで修正された脆弱性は、次の通りだ。

 CVE-2008-1010:このアップデートはMac OS X v10.4.11、Mac OS X v10.5.2、Windows XP、Vista用のもので、Webkitに関する問題を修正する。Appleによれば、この問題は悪意を持って作られたウェブサイトを閲覧ことで、予期しないアプリケーションの終了や任意のコード実行が引き起こされる可能性があるというものだ。詳細は次の通りだ。

 WebKitにはJavaScriptの正規表現の処理に、バッファオーバーフローの問題が存在する。ユーザーに悪意を持って作られたウェブページを閲覧させることで、予期しないアプリケーションの終了や任意のコード実行が引き起こされる可能性がある。今回のアップデートでは、境界チェックを改善することでこの問題に対応している。この問題を報告してくれたのは、WebKit Open Source ProjectのEric Seidel氏、Google Security TeamのTavis Ormandy氏およびWill Drewry氏である。」

 CVE-2008-1011:これはWebkitに存在するクロスサイトスクリプティングの問題を修正するものだ。このアップデートが提供されているのは、Mac OS X v10.4.11、Mac OS X v10.5.2、Windows XP、Vistaだ。Appleは次のように述べている。「WebKitにあるクロスサイトスクリプティングの問題は、あるフレームのメソッドインスタンスを別のフレームのコンテクストで呼び出すことができるというものだ。ユーザーに悪意を持って作られたウェブページを閲覧させることで、秘密情報が開示されてしまう可能性がある。このアップデートは、ドメインを超えたメソッドの呼び出しの処理を改善することでこの問題に対応している。この問題を報告してくれたのはDavid Bloom氏である。」

 他のCVEは、すべて同じクロスサイトスクリプティングの問題の変形だ。CVE番号と副作用は次の通りだ。

 Safari(CVE-2008-1002):このアップデートは、JavaScriptのクロスサイトスクリプティング問題を修正する。影響のあるプラットフォームは、Tiger、Leopard、XP、Vistaだ。Appleは次のように述べている。

 "JavaScript:"から始まるURLの処理に、クロスサイトスクリプティングの問題が存在する。ユーザーに悪意を持って作られたウェブページを訪問させることで、他のサイトのコンテクストでJavaScriptを実行させることが可能となる。今回のアップデートでは、"JavaScript:"から始まるURLに対し検証処理を追加することでこの問題に対応している。この問題を報告してくれたのはGoogle Information Security TeamのRobert Swiecki氏である。

 Webcore(CVE-2008-1003、CVE-2008-1004、CVE-2008-1005、CVE-2008-1006、CVE-2008-1007、CVE-2008-1008、CVE-2008-1009):これらのアップデートは、Leopard、Tiger、XP、Vistaさまざまなクロスサイトスクリプティングに対する脆弱性の問題に対応するものだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]