Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求Appleは対処せず

Safariはユーザーの許可なくマルウェアをダウンロードしてしまうと研究者が指摘。しかしAppleはこれをセキュリティ問題としては扱わない方針だという。

» 2008年05月21日 08時53分 公開
[ITmedia]

 AppleのSafariブラウザはユーザーの同意なしにマルウェアをダウンロードしてしまう恐れがあると、セキュリティ研究者が指摘した。スパイウェア対策プロジェクトの米StopBadware.orgもこれを問題視、Appleに対処を促している。

 Safariの「じゅうたん爆撃」問題を指摘したのはセキュリティ研究者のニテシュ・ダーンジャニ氏。同氏のブログによると、Safariではユーザーの同意を求めることなくリソースがダウンロードされ、デフォルトの場所(Windowsではデスクトップ、OSXではDownloadsディレクトリ)に保存される設定になっている。ユーザーの許可を求めるよう、設定を変更することもできないという。

image 不正ファイルで埋め尽くされたWindowsのデスクトップ(ニテシュ・ダーンジャニ氏のブログより)

 例えば不正iframeを仕込んだ悪質サイトをユーザーが閲覧すると、自動的にファイルがダウンロードされてしまい、ユーザーの許可なくマルウェアがダウンロードされる恐れもある。ダーンジャニ氏が示した例では、Windowsのデスクトップが不正ファイルで埋め尽くされた状態になった。

 ダーンジャニ氏はAppleにこの問題を通報し、ファイルをダウンロードする前にユーザーの許可を求めるオプションの提供を提案した。

 これに対しAppleは「機能強化のリクエストとしてSafariチームに伝える」としながらも、「当社はこれをセキュリティ問題としては扱わない」と述べ、対処するとしてもかなりの時間がかかるかもしれないと返答してきたという。

 StopBadware.orgはこれについて、ダーンジャニ氏の分析が正確だとすれば、ユーザーが簡単にだまされて悪質ファイルを実行してしまう恐れがあり、深刻なセキュリティ問題だと指摘。自分のコンピュータにダウンロードするソフトウェアはユーザーが管理すべきものだとして、Appleに対し再考を求め、セキュリティ問題として対処するよう促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ