【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
Windows版Safariの「じゅうたん爆撃」攻撃コードが公開
「Safariユーザーにとって重大な問題」とセキュリティ専門家らが呼びかけ
(2008年06月11日)
6月8日、あるハッカーが執筆するコンピュータ・セキュリティのブログに、Webブラウザ「Safari」および「Internet Explorer(IE)」の致命的な脆弱性を突くエクスプロイト・コードが、攻撃方法のデモと共に掲載された。
 |
| 問題のエクスプロイト・コードはLIUDIEYU氏のブログに公開されている |
セキュリティ専門家の説明によると、同ソースコードは、ユーザーのマシン上で許可なく不正なソフトウェアを動作させることができるというもので、犯罪者がWebベースのコンピュータ攻撃に利用する可能性もあるという。
セキュリティ・ベンダーの米国Shavlik Technologiesで技術主任を務めるエリック・シュルツ(Eric Shultze)氏は、攻撃コード例が一般公開されたことは「Safariを使っているユーザーにとって非常に大きな問題だ」と述べ、Windows版のSafariユーザーに注意を喚起している。
Safariの脆弱性は5月15日に、セキュリティ研究家のニテシュ・ダーンジャーニ(Nitesh Dhanjani)氏が発見したものだ(関連記事)。攻撃者は被害者のPCに不正な実行ファイルを自動的にダウンロードさせ、デスクトップ上にファイルが敷き詰められることから「Carpet Bombing(じゅうたん爆撃)」と呼ばれている。
さらにその2週間後、別のセキュリティ研究家のアビーブ・ラフ(Aviv Raff)氏が、この脆弱性がWindowsおよびIEのバグと併せて攻撃に利用されると、攻撃者は被害者のPC上で許可なくソフトウェアを動作させることができると指摘した。
この脆弱性が発見されたことに対し、米国Appleは同ブラウザの欠陥を修正する予定はないとコメントした。その一方で、米国Microsoftは5月30日にセキュリティ勧告をリリースし、修正パッチに取り組む可能性を示した。
Microsoftの勧告によると、同脆弱性はWindowsがデスクトップ上の実行ファイルを処理する方法と関係があり、Windows XP/Vistaを含むすべてのバージョンに影響を及ぼすという。同社は「この問題を解決するアップデートを、MicrosoftもしくはAppleがリリースするまでSafariの使用を避けるように」と警告している。
この件に関し、Appleにコメントを求めたが回答は得られなかった。また、Microsoftも広報を通じて、「セキュリティ対策チームのメンバーは会議中につき回答できない」と答えるにとどまった。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
[米国]Safariに新たな脆弱性――反マルウェア団体がアップルに改善を要求
「セキュリティ問題ではない」としてアップルは対応を先送り
[世界]【Net Applications調査】4月のブラウザ市場、IEのシェア急拡大はキャンペーンが原因
「FirefoxとSafariのシェア下落幅は小さい」とネット・アプリが指摘
[世界]【Symantec調査】ブラウザ・プラグインの脆弱性、79%は「ActiveX」絡み
脆弱なIE 6に加え、ファジング・ツールの存在も影響
[米国]アップル、Webブラウザの新版「Safari 3.1」をリリース――“世界最速”をアピール
13件の脆弱性を修正。Windows版も同時に提供
[米国]Flash Playerの脆弱性を突く新たな攻撃が発生
22万件近くのWebページに悪意あるスクリプトが埋め込まれる
