セキュリティフォーラムは、Windows版Safariの新しい脆弱性に関する話題で持ちきり。任意のコードを実行できる脆弱性も指摘されているという。
米AppleがWindows版Safariのβ版を公開した直後から、脆弱性情報が相次いで公開されている。セキュリティ各社は6月12日のブログでこの問題について報告。「AppleのWebブラウザを真っ先に歓迎したのは脆弱性研究者たちだった」(McAfee)との指摘もある。
McAfeeによると、セキュリティフォーラムはSafari新バージョンの新たな脆弱性に関する話題で持ちきりで、これまでに少なくとも3人の研究者がセキュリティホールを見つけたと報告。Safariを実行しているWindowsコンピュータを、攻撃者がリモートで完全に制御できると公言しているという。
F-Secureのブログではこれらの脆弱性について、現時点で第三者によって確認されたのは、デンマークのセキュリティ研究者、トール・ラルホルム氏が発見した脆弱性のみだと指摘した。
この脆弱性は、ユーザーが入力した文字列を外部のURLプロトコルハンドラに受け渡す際、適切に認証されないことに起因する。これを突かれると、Safariで悪質なWebページを閲覧させることにより、任意のコードを実行できてしまうという。
Mac OS Xで動作するAppleソフトが狙われることはあまりないが、Windowsユーザーにも広く使われているQuickTimeなどは脆弱性探しやサイバー攻撃の標的になっているとMcAfeeは解説。次はSafariが標的になりそうだと予想している。
Symantecによると、これら脆弱性はまだ広く悪用されている状況ではないが、いずれ実際に悪用され、さらに新しい脆弱性が発見されるのは必至と見られる。
ただ、Windows版Safariはまだβリリースであり、たとえ脆弱性が存在しないとしても、実働環境でβソフトを使うことは勧めないとSymantecは釘を刺している。
Copyright © ITmedia, Inc. All Rights Reserved.