アップル、Windows対応「Safari 3」ベータ版をアップデート
セキュリティ研究者が発見した脆弱性を「異例の早さ」で修正米国アップルは6月14日、Windows対応「Safari 3」のベータ版をアップデートした。わずか3日前の11日にリリースした最初のベータ版(バージョン3.0.0)で複数の脆弱性が見つかったため、同社としては「異例の早さ」で3つの脆弱性を修正した。
新版となるSafari 3.0.1では、Windows版Safari 3.0.0で見つかった3つの脆弱性(外部のセキュリティ研究者がこれまで発見したバグの一部)が修正されている。アップルによると、3つのうち2つはMac OS X対応Safari 3に影響を及ぼすことはないが、残る1つはMac OS X対応版をクラッシュさせる可能性がある。
この3つはいずれも深刻な脆弱性だが、アップルはマイクロソフトやモジラとは異なり、深刻度のランク付けを行っていない。アップルは代わりに、報告書の中で「任意のコードの実行を招く可能性がある」という表現を用いており、これは「Internet Explorer」や「Firefox」での「緊急」に相当する。
「攻撃者は悪意あるWebページにユーザーを誘導してこの問題を誘発させ、その結果、任意のコードが実行される可能性がある。(中略)今回のアップデートでは、追加処理とURLの検証を行うことでこの問題に対処する。これは、Mac OS Xシステムではセキュリティ上の問題とはならないが、Safariブラウザの突発的な終了を招く可能性がある」(アップルの報告書)
修正された脆弱性の1つは、セキュリティ研究者のトール・ラルホルム氏が見つけたバグである。同氏は、Safari 3.0.0が公開された数時間後に、Windows対応版に脆弱性があることを発見した。
同氏は14日、自身のブログで、この脆弱性は新版(Safari 3.0.1)で修正されたと述べるとともに、アップルが異例の早さで脆弱性に対応したことを評価している。「この深刻なセキュリティ上の脆弱性を、これほど短時間で修正したアップルを褒めたい。同社はこれまで、対応するのに数週間から数カ月を要していた」
デービッド・メイナー氏とアビブ・ラフ氏の2人の研究者も、11日にSafari 3の脆弱性を発見した。このうちラフ氏は、14日付けの電子メールで、同氏が発見した脆弱性も新しいベータ版で修正されたと述べている。「(Fuzzingツールの)Hamachiを再度実行して新バージョンをテストした。一見したところ、このバージョンでは脆弱性は修正されている」(ラフ氏)
もっとも、ラフ氏はアップルの対応に怒っている。アップルが報告書で、脆弱性を発見したセキュリティ研究者の功績について何も触れていないからだ。
ラフ氏やメイナー氏は今回、アップルのセキュリティ・チームに脆弱性の件を報告しなかった。独立系のセキュリティ研究者に対するアップルの態度が敵意に満ちていると考えているからだ。
とりわけメイナー氏は、「Black Hat security conference」で実演した無線ハッキングをめぐってアップルから受けた叱責を理由に、断固としてアップルに脆弱性を報告しないと述べている。
Safari 3ベータのアップデート版は、アップルのWebサイトからダウンロードできる。
(グレッグ・カイザー/Computerworld オンライン米国版)
