Safariに7件の脆弱性を修正するパッチ

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009年11月12日 21時07分

  • このエントリーをはてなブックマークに追加

 米国時間11月11日、AppleはWindowsユーザーとMacユーザーを、幅広いハッカーからの悪意のある攻撃にさらす、全部で7件のセキュリティホールを修正したSafari 4.0.4を公開した。

 この優先度の高いアップデートでは、ユーザーが悪意を持って特別に作成されたウェブサイトを閲覧しただけで、リモートからのコード実行(自動ダウンロード)を許してしまう脆弱性を修正している。これらの問題の一部は、Microsoftの新OSであるWindows 7にも影響がある。

 Appleのアドバイザリの概要は次の通りだ。

  • ColorSync(CVE-2009-2804)--対象OS:Windows VistaおよびWindows XP。埋め込みカラープロファイルによる画像の処理に、整数オーバーフローの問題が存在し、ヒープバッファオーバーフローに繋がる可能性がある。埋め込みカラープロファイルを伴う悪意を持って作成された画像を開くと、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。この脆弱性はApple社内で発見された。
  • libxml(CVE-2009-2414)--対象OS:Mac OS X、Windows 7、Windows VistaおよびWindows XP。libxml2に複数のuse-after-free(解放後使用)の問題が存在し、そのうちもっとも重大なものは、予期しないアプリケーションの終了に繋がる可能性がある。このアップデートでは、メモリ処理の改善によってこれらの問題を解消している。これらの問題は、Mac OS X 10.6.2の中、およびMac OS X 10.5.8用のSecurity Update 2009-006の中ではすでに解消されている。
  • Safari(CVE-2009-2842)--対象OS:Mac OS X、Windows 7、Windows VistaおよびWindows XP。Safariのショートカットメニューオプションのうち「イメージを新規タブで開く」「イメージを新規ウィンドウで開く」「リンクを新規タブで開く」によって開始されたナビゲーションの処理に問題が存在する。悪意を持って作成されたウェブサイトからこれらのオプションを使用すると、ローカルにあるHTMLファイルが読み込まれ、秘密情報の漏洩に繋がる可能性がある。
  • WebKit(CVE-2009-2816)--対象OS:Mac OS X、Windows 7、Windows VistaおよびWindows XP。WebKitのCross-Origin Resource Sharingの実装に問題が存在する。ある生成元から生成されたページが他の生成元のリソースにアクセスするのを許す前に、WebKitは後者のサーバにリソースへのアクセスを求める事前リクエストを送る。WebKitではこの事前リクエスト中の要求ページによって指定された、カスタムHTTPヘッダを使用している。これが、クロスサイトリクエストフォージェリを引き起こす可能性がある。この問題はApple社内で発見された。
  • WebKit(CVE-2009-3384)--対象OS:Windows 7、Windows VistaおよびWindows XP。WebKitのFTPディレクトリリストの処理に複数の脆弱性が存在する。悪意を持って作成されたFTPサーバにアクセスすると、情報漏洩、予期しないアプリケーションの終了、任意のコード実行に繋がる可能性がある。このアップデートでは、FTPのディレクトリリストの処理を改善することによってこれらの問題を解消している。これらの問題は、Mac OS X上のSafariには影響がない。
  • WebKit(CVE-2009-2841)--対象OS:Mac OS X(クライアントおよびサーバ)。WebKitが外部リソースを指定しているHTML 5のメディア要素を処理する際には、このリソースを読み込むべきかどうかを判断するためのリソース読み込みコールバックを行っていない。これが原因で、リモートサーバが望んでいないリクエストが行われる場合がある。例えば、HTML形式のメールメッセージの送信者がこの問題を利用して、メッセージが読まれたかどうかを知ることができる。この問題は、WebKitがHTML 5のメディア要素を処理する際に、リソース読み込みコールバックを行うことで解消されている。この問題は、Windows上のSafariには影響がない。

 このアップデートは、Appleのソフトウェアアップデート用ユーティリティを使ってユーザーに通知される。Safariユーザーは、Appleのダウンロードサイトからこのパッチをダウンロードすることもできる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]