Safariのセキュリティ問題、コンセプト実証コードが公開：ついに登場

Windows版Safariの「じゅうたん爆撃」問題を突いたコンセプト実証コードが公開された。

[ITmedia]

　Windows版Safariブラウザで指摘されているセキュリティ問題をめぐり、SANS Internet Storm Centerは6月12日、この問題が悪用可能なことを示すコンセプト実証コードが公開されたと伝えた。

　この問題はセキュリティ研究者が5月に報告したもので、悪用するとWindowsのデスクトップを不正ファイルで埋め尽くす「じゅうたん爆撃」を仕掛けることができると指摘。Microsoftも調査に乗り出している。

　SANSによると今回公開されたコンセプト実証コードは、Windows版Safariがユーザーに同意を求めることなくファイルをデスクトップに保存する機能と、一部のInternet Explorer（IE）でDLLがデスクトップからロードされる機能を利用している。

　この2つの機能を組み合わせて悪用された場合、ユーザーがSafariで悪質なWebサイトを閲覧すると自動的にDLLファイルがダウンロードされ、デスクトップに保存される。その後デスクトップからIEを開くと自動的にDLLファイルが実行される。

　「MicrosoftとAppleはこの機能を修正すべきだ」とSANSは指摘する。コンセプト実証コードは簡単に入手できるため、SANSはWindows版Safariを利用しているユーザーにデフォルトの保存場所を変更するようアドバイスしている。

過去のセキュリティニュース一覧はこちら