Windows版Safariの脆弱性、「まだある」と研究者が指摘

「Appleがすぐに修正した脆弱性はニュースの見出しを飾ったものばかり」とErrataのセキュリティ研究者は批判する。

[Lisa Vaas，eWEEK]

　Errata SecurityがAppleのWindows版Safariで見つけた――それも同ブラウザが6月11日にリリースされてから数時間で――脆弱性は、まだ存在する。Errataのデイブ・マイナーCTO（最高技術責任者）が6月25日にブログで指摘した。

　「Errata Securityが発見した脆弱性はまだWindows版Safariにある」と同氏は記している。

　この投稿はその後削除され、詳細の追加を待っているとマイナー氏は語った。Appleに問い合わせたが、本稿掲載時までに回答はなかった。

　同氏は、このバグは、Appleのコードでクライアント側の脆弱性を見つけるのは容易だという同氏の主張を証明するものだと話す。

　「OS X版Safariをテストツールfuzzerを通して走らせたところ、数秒でクラッシュした」と同氏は25日のエントリで述べている。

　Errataはエクスプロイトを見つけた後、4月23日にこのブログでテスト結果を公開した。Appleがすぐにそれを修正しなかったのは、メディアがこのエクスプロイトを無視したからだとマイナー氏は言う。

　また、Safariのエクスプロイトは「ありふれたもの」なので、Errataは、企業がSafariを禁止するべき理由に関するHEV（Hacker Eye View）を書くのに必要としていた以外のエクスプロイトをわざわざ探さなかったという。

　「Appleがすぐに修正した脆弱性を見てみると、ニュースの見出しを飾ったものばかりだ。だから、脆弱性をAppleに報告するのは無駄だ。同社はそれを迅速に修正しないからだ。脆弱性の詳細を公開するのも無駄だ。悪党のマルウェア作成を手助けすることになるだけだからだ。わたしはこれを『スポットライトを浴びた時にだけ修正する』エディー・ハスケル（訳注：米ホームドラマ「Leave It To Beaver」のキャラクター）症候群と呼んでいる。Leave It To Beaverを見ていなかった人のために説明すると、Appleは誰かが見ているときには責任ある行動をするが、誰も見ていないときにはお行儀が悪いという意味だ」（マイナー氏）

　マイナー氏の言うことが辛らつに聞こえるのなら、それは同氏がAppleに脆弱性を開示していないことで厳しく批判されてきたからだ。例えば、Matasanoのジェレミー・ロウチ氏は、マイナー氏がWinSafari脆弱性を公開した後にこう記した。「デイブ、もしも君がAppleを仲間はずれにするのなら、Safariの秘密の脆弱性を隠して、君の会社と顧客、その顧客が話した相手、顧客に侵入できる誰かだけに教えるのなら、頼みたいことがある。君の倫理規定がどんなものか公開してくれないか？　多くの人が知りたがっているんだ」

　もちろん、マイナー氏とAppleの崩壊した関係は、WinSafari脆弱性の開示よりも前、少なくとも2006年秋のToorConにまでさかのぼる。同氏と仲間のセキュリティ研究者ジョン・“ジョニー・キャッシュ”・エリック氏は、このイベントでWindowsおよびMacのワイヤレスデバイスドライバの脆弱性をデモしないよう圧力をかけられた。Appleはその後のアップデートの謝辞に、マイナー氏による発見を書かなかったほどだ。

原文へのリンク