［米国］
Windows版Safariの「じゅうたん爆撃」攻撃コードが公開

「Safariユーザーにとって重大な問題」とセキュリティ専門家らが呼びかけ

（2008年06月11日）

　6月8日、あるハッカーが執筆するコンピュータ・セキュリティのブログに、Webブラウザ「Safari」および「Internet Explorer（IE）」の致命的な脆弱性を突くエクスプロイト・コードが、攻撃方法のデモと共に掲載された。

問題のエクスプロイト・コードはLIUDIEYU氏のブログに公開されている

　セキュリティ専門家の説明によると、同ソースコードは、ユーザーのマシン上で許可なく不正なソフトウェアを動作させることができるというもので、犯罪者がWebベースのコンピュータ攻撃に利用する可能性もあるという。

　セキュリティ・ベンダーの米国Shavlik Technologiesで技術主任を務めるエリック・シュルツ（Eric Shultze）氏は、攻撃コード例が一般公開されたことは「Safariを使っているユーザーにとって非常に大きな問題だ」と述べ、Windows版のSafariユーザーに注意を喚起している。

　Safariの脆弱性は5月15日に、セキュリティ研究家のニテシュ・ダーンジャーニ（Nitesh Dhanjani）氏が発見したものだ（関連記事）。攻撃者は被害者のPCに不正な実行ファイルを自動的にダウンロードさせ、デスクトップ上にファイルが敷き詰められることから「Carpet Bombing（じゅうたん爆撃）」と呼ばれている。

　さらにその2週間後、別のセキュリティ研究家のアビーブ・ラフ（Aviv Raff）氏が、この脆弱性がWindowsおよびIEのバグと併せて攻撃に利用されると、攻撃者は被害者のPC上で許可なくソフトウェアを動作させることができると指摘した。

　この脆弱性が発見されたことに対し、米国Appleは同ブラウザの欠陥を修正する予定はないとコメントした。その一方で、米国Microsoftは5月30日にセキュリティ勧告をリリースし、修正パッチに取り組む可能性を示した。

　Microsoftの勧告によると、同脆弱性はWindowsがデスクトップ上の実行ファイルを処理する方法と関係があり、Windows XP/Vistaを含むすべてのバージョンに影響を及ぼすという。同社は「この問題を解決するアップデートを、MicrosoftもしくはAppleがリリースするまでSafariの使用を避けるように」と警告している。

　この件に関し、Appleにコメントを求めたが回答は得られなかった。また、Microsoftも広報を通じて、「セキュリティ対策チームのメンバーは会議中につき回答できない」と答えるにとどまった。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)