Windows用Safari「絨毯爆撃」の脆弱性実証コードが公開される

文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-06-12 15:31

 Safariが持つ「絨毯爆撃」と呼ばれるセキュリティホールの深刻さに対してAppleが現在取っている受け身の立場を変えさせようとする試みだと思われるが、Liu Die Yu氏のセキュリティブログで実際に動作する脆弱性実証コードが公開された

 Nitesh Dhanjani氏はWindows用Safariが自動的にデスクトップにダウンロードを行うことを発見し、これがデスクトップを混乱させる可能性があるとして、この効果を「Safari Carpet Bomb(Safari絨毯爆撃)」と呼んだ。その後Microsoftは「Windows XP および Windows Vista のサポートしているバージョンに対するリモートで攻撃」および「マイクロソフトと協力し、Safari および Microsoft Internet Explorer の複合的な脅威について報告してくださった Aviv Raff 氏」について述べる勧告を発表した。Aviv Raff氏は同氏のブログに「SafariがInternet Explorerを侵している」とし、「この複合攻撃は、古いバージョンのInternet Explorerの脆弱性も悪用でき、私はこれをずっと前に報告している」と書いている。

 Aviv Raff氏がMicrosoftにかなり前に報告したという古い脆弱性は、Aviv Raff氏の書いた2つの記事で説明されている(IE7 DLL-load hijacking Code Execution Exploit PoCおよびInternet Explorer 7 - Still Spyware Writers Heaven)。これらは両方とも2006年のものだ(そう、確かにこれは「ずっと前」のことだ)。この脆弱性は、Windows Internet Explorerがプログラムライブラリファイル(DLL)を、そのファイル名を特定の値に設定すると、自分自身のライブラリファイルフォルダ(通常はC:\WINDOWS\SYSTEM32)ではなく、ユーザーのデスクトップから読み込んでしまうというものだ。

 Liu氏のブログには、Microsoftの説明する「複合的な脅威」とは異なる、新しいWindows用Safariに関するセキュリティ上の脅威を説明する記事や、今回の失態の責任がどこにあるかを簡単にまとめた記事が投稿されている。

 Windows用Safariはデフォルトではダウンロードファイルを(IEの「ファイルのダウンロード」ダイアログボックスのような)ダイアログボックスの表示なしにデスクトップに置く。まあ、デフォルトでは要求されたファイルをユーザーのデスクトップにダウンロードして保存するというのは、実際には非常に合理的で便利な機能ではある。本当にこの「複合的な脅威」の原因となっているのは、Windows Internet Explorer(そしておそらく他のプログラム)のプログラムライブラリファイルの読み込みの問題だ。

 研究者やマルウェア対策グループが公にこの脆弱性を悪用する可能性を示している状況では、Appleの受け身の態度は、彼らの広告部隊の働きによる彼らのソフトウェアの無敵さのイメージに悪影響を与える可能性を考慮に入れれば、ベンダーがどれほどそれを嫌おうと、攻撃方法に関する完全な情報開示でしか変えることはできないだろう。不可能なことは何もなく、「不可能」なことをするには少し長く時間がかかるだけのことであり、もっとも安全だと宣伝されているソフトウェアにバグを見つけることも不可能ではないのだ。

 では、安全のためにはどうしたらよいだろうか。クリックする際に注意するか、ブラウザのデフォルトのダウンロード場所を変更するか、まずこの脆弱性が注意を引き、それからこの問題が修正されるまで、Windows用Safariの利用を避けることを検討することだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]