Windows用Safari「絨毯爆撃」の脆弱性実証コードが公開される

文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-06-12 15:31

 Safariが持つ「絨毯爆撃」と呼ばれるセキュリティホールの深刻さに対してAppleが現在取っている受け身の立場を変えさせようとする試みだと思われるが、Liu Die Yu氏のセキュリティブログで実際に動作する脆弱性実証コードが公開された

 Nitesh Dhanjani氏はWindows用Safariが自動的にデスクトップにダウンロードを行うことを発見し、これがデスクトップを混乱させる可能性があるとして、この効果を「Safari Carpet Bomb(Safari絨毯爆撃)」と呼んだ。その後Microsoftは「Windows XP および Windows Vista のサポートしているバージョンに対するリモートで攻撃」および「マイクロソフトと協力し、Safari および Microsoft Internet Explorer の複合的な脅威について報告してくださった Aviv Raff 氏」について述べる勧告を発表した。Aviv Raff氏は同氏のブログに「SafariがInternet Explorerを侵している」とし、「この複合攻撃は、古いバージョンのInternet Explorerの脆弱性も悪用でき、私はこれをずっと前に報告している」と書いている。

 Aviv Raff氏がMicrosoftにかなり前に報告したという古い脆弱性は、Aviv Raff氏の書いた2つの記事で説明されている(IE7 DLL-load hijacking Code Execution Exploit PoCおよびInternet Explorer 7 - Still Spyware Writers Heaven)。これらは両方とも2006年のものだ(そう、確かにこれは「ずっと前」のことだ)。この脆弱性は、Windows Internet Explorerがプログラムライブラリファイル(DLL)を、そのファイル名を特定の値に設定すると、自分自身のライブラリファイルフォルダ(通常はC:\WINDOWS\SYSTEM32)ではなく、ユーザーのデスクトップから読み込んでしまうというものだ。

 Liu氏のブログには、Microsoftの説明する「複合的な脅威」とは異なる、新しいWindows用Safariに関するセキュリティ上の脅威を説明する記事や、今回の失態の責任がどこにあるかを簡単にまとめた記事が投稿されている。

 Windows用Safariはデフォルトではダウンロードファイルを(IEの「ファイルのダウンロード」ダイアログボックスのような)ダイアログボックスの表示なしにデスクトップに置く。まあ、デフォルトでは要求されたファイルをユーザーのデスクトップにダウンロードして保存するというのは、実際には非常に合理的で便利な機能ではある。本当にこの「複合的な脅威」の原因となっているのは、Windows Internet Explorer(そしておそらく他のプログラム)のプログラムライブラリファイルの読み込みの問題だ。

 研究者やマルウェア対策グループが公にこの脆弱性を悪用する可能性を示している状況では、Appleの受け身の態度は、彼らの広告部隊の働きによる彼らのソフトウェアの無敵さのイメージに悪影響を与える可能性を考慮に入れれば、ベンダーがどれほどそれを嫌おうと、攻撃方法に関する完全な情報開示でしか変えることはできないだろう。不可能なことは何もなく、「不可能」なことをするには少し長く時間がかかるだけのことであり、もっとも安全だと宣伝されているソフトウェアにバグを見つけることも不可能ではないのだ。

 では、安全のためにはどうしたらよいだろうか。クリックする際に注意するか、ブラウザのデフォルトのダウンロード場所を変更するか、まずこの脆弱性が注意を引き、それからこの問題が修正されるまで、Windows用Safariの利用を避けることを検討することだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]