Safariブラウザの更新版がリリース、AutoFillの問題にも対処

[ITmedia]

　米Appleは7月28日、Safariブラウザの更新版をMacとWindows向けにリリースした。多数の深刻な脆弱性を解決し、研究者が以前から指摘していた「AutoFill」機能のセキュリティ問題にも対処している。

　更新版の「Safari 5.0.1」はMac OS X 10.5.8と10.6.2以降、およびWindows 7／Vista／XPに対応している。「Safari 4.1.1」はMac OS X 10.4.11向けとなる。

　Appleのセキュリティ情報によると、今回の更新では15件の脆弱性を修正した。このうち「SafariのAutoFill機能がユーザーの介入なしに情報をWebサイトに開示してしまう」問題は、セキュリティ研究者が先に詳細を公表して注意を呼び掛けていた。AutoFillにはMac OS XやWindows、Outlookのアドレス帳から自動的に情報を取得してくる機能があるが、この機能には設計上の問題があり、細工を施したWebサイトをユーザーが見ただけでこの情報が流出する恐れがあった。

　SafariのRSSフィード処理に関するクロスサイトスクリプティング（XSS）問題では、細工を施したRSSフィードにアクセスすると、ユーザーのシステムにあるファイルがリモートのサーバに送信されてしまう恐れがあるという。

　残る13件の脆弱性はいずれもWebKitに存在する。すべて任意のコード実行に利用される恐れのある深刻な問題で、細工を施したWebサイトなどを使って悪用される可能性がある。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら