Safariにパッチ:フィッシング攻撃、任意のコード実行などの問題を修正される

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-08-13 12:30

 AppleはSafari 4.0.3をリリースし、少なくとも6件のMacおよびWindowsのユーザーをハッカーからの攻撃を受けるリスクにさらしている脆弱性を修正した。

 このアップデートは極めて重要なものと考えられ、情報漏洩、フィッシング詐欺、遠隔からのコード実行攻撃の危険があるため、Windows、Macのどちらのシステムに対してもただちに適用すべきだ。

 修正された脆弱性の概要は次の通りだ。

  • CVE-2009-2468(Windows XPおよびVista): 長いテキスト文字列の描画処理にヒープバッファオーバーフローの問題が存在する。悪意を持って作成されたウェブサイトを閲覧すると、予期しないアプリケーションの終了が引き起こされたり、任意のコードが実行される可能性がある。このアップデートでは、境界チェックの処理を改善することで問題を解決している。
  • CVE-2009-2188(Windows XPおよびVista): EXIFメタデータの処理にバッファオーバーフローの問題が存在する。悪意を持って作成された画像を閲覧すると、予期しないアプリケーションの終了が引き起こされたり、任意のコードが実行される可能性がある。このアップデートでは、境界チェックの処理を改善することで問題を解決している。
  • CVE-2009-2196(Mac OS X、Windows XPおよびVista): Safari 4では、ユーザーが気に入っているサイトを一覧できるTop Sites機能が導入された。悪意を持って作成されたウェブサイトが、自動的な処理によって、Top Sitesに任意のサイトを掲載することができる。この機能はフィッシング攻撃を容易にするために使用することができる。
  • CVE-2009-2195(Mac OS X、Windows XPおよびVista): WebKitの浮動小数点数の構文解析処理にバッファオーバーフローの問題が存在する。悪意を持って作成されたウェブサイトを閲覧すると、予期しないアプリケーションの終了が引き起こされたり、任意のコードが実行される可能性がある。このアップデートでは、境界チェックの処理を改善することで問題を解決している。
  • CVE-2009-2200(Mac OS X、Windows XPおよびVista): WebKitでプラグインページの「embed」要素のアトリビュートからfile URLを参照することが可能になっている。プラグインの種類が不明な場合に表示されるダイアログで「Go」をクリックすると、プラグインページのアトリビュートに設定されているURLにリダイレクトされる。これを利用することで、遠隔の攻撃者がSafariでfile URLを開くことが可能であり、秘密情報の漏洩につながる可能性がある。このアップデートでは、プラグインページで使用するURLをhttpあるいはhttpsに限定することで問題を解決している。
  • CVE-2009-2199(Mac OS X、Windows XPおよびVista): 国際化ドメイン名(IDN)のサポートとSafariに埋め込まれているUnicodeフォントを利用することで、見た目が似ている文字が含まれたURLを作成することができる。この問題が悪意を持って作成されたウェブサイトで利用されると、ユーザーが正規のドメインのように見える偽のサイトに送られる可能性がある。このアップデートでは、WebKitが持つ、既知の見た目が似ている文字のリストを補完することで問題を解決している。見た目が似ている文字は、アドレスバー内ではPyunicodeで表示される。

 Safariの新バージョンは、Apple Software UpdateかAppleのSafariダウンロードサイトから入手できる。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]