Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求:Appleは対処せず
Safariはユーザーの許可なくマルウェアをダウンロードしてしまうと研究者が指摘。しかしAppleはこれをセキュリティ問題としては扱わない方針だという。
AppleのSafariブラウザはユーザーの同意なしにマルウェアをダウンロードしてしまう恐れがあると、セキュリティ研究者が指摘した。スパイウェア対策プロジェクトの米StopBadware.orgもこれを問題視、Appleに対処を促している。
Safariの「じゅうたん爆撃」問題を指摘したのはセキュリティ研究者のニテシュ・ダーンジャニ氏。同氏のブログによると、Safariではユーザーの同意を求めることなくリソースがダウンロードされ、デフォルトの場所(Windowsではデスクトップ、OSXではDownloadsディレクトリ)に保存される設定になっている。ユーザーの許可を求めるよう、設定を変更することもできないという。
例えば不正iframeを仕込んだ悪質サイトをユーザーが閲覧すると、自動的にファイルがダウンロードされてしまい、ユーザーの許可なくマルウェアがダウンロードされる恐れもある。ダーンジャニ氏が示した例では、Windowsのデスクトップが不正ファイルで埋め尽くされた状態になった。
ダーンジャニ氏はAppleにこの問題を通報し、ファイルをダウンロードする前にユーザーの許可を求めるオプションの提供を提案した。
これに対しAppleは「機能強化のリクエストとしてSafariチームに伝える」としながらも、「当社はこれをセキュリティ問題としては扱わない」と述べ、対処するとしてもかなりの時間がかかるかもしれないと返答してきたという。
StopBadware.orgはこれについて、ダーンジャニ氏の分析が正確だとすれば、ユーザーが簡単にだまされて悪質ファイルを実行してしまう恐れがあり、深刻なセキュリティ問題だと指摘。自分のコンピュータにダウンロードするソフトウェアはユーザーが管理すべきものだとして、Appleに対し再考を求め、セキュリティ問題として対処するよう促している。
関連記事
- “Mac安全神話”の終わり?
Macを狙った本格的なマルウェア攻撃が初めて発見された。「MacユーザーはPCのセキュリティのお粗末さを鼻で笑っていたが、もう少し慎重にならなければならない」と専門家は指摘する。 - Windows版Safariの脆弱性、「まだある」と研究者が指摘
「Appleがすぐに修正した脆弱性はニュースの見出しを飾ったものばかり」とErrataのセキュリティ研究者は批判する。 - AppleのSafariに危険が忍び寄る
「1日目から安全」をうたうWindows版Safariだが、今の状況を見る限り、1日目どころかまだ「0日目」のようだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.