Apple、Windows対応「Safari 3」ベータ版をアップデート──セキュリティ研究者が発見した脆弱性を「異例の早さ」で修正

 米国Appleは6月14日、Windows対応「Safari 3」のベータ版をアップデートした。わずか3日前の11日にリリースした最初のベータ版(バージョン3.0.0)で複数の脆弱性が見つかったため、同社としては「異例の早さ」で3つの脆弱性を修正した。

 新版となるSafari 3.0.1では、Windows版Safari 3.0.0で見つかった3つの脆弱性(外部のセキュリティ研究者がこれまで発見したバグの一部)が修正されている。Appleによると、3つのうち2つは Mac OS X対応Safari 3に影響を及ぼすことはないが、残る1つはMac OS X対応版をクラッシュさせる可能性がある。

 この3つはいずれも深刻な脆弱性だが、AppleはMicrosoftやモジラとは異なり、深刻度のランク付けを行っていない。Appleは代わりに、報告書の中で「任意のコードの実行を招く可能性がある」という表現を用いており、これは「Internet Explorer」や「Firefox」での「緊急」に相当する。

 「攻撃者は悪意あるWebページにユーザーを誘導してこの問題を誘発させ、その結果、任意のコードが実行される可能性がある。(中略)今回のアップデートでは、追加処理とURLの検証を行うことでこの問題に対処する。これは、Mac OS Xシステムではセキュリティ上の問題とはならないが、Safariブラウザの突発的な終了を招く可能性がある」(Appleの報告書)

 修正された脆弱性の1つは、セキュリティ研究者のトール・ラルホルム氏が見つけたバグである。同氏は、Safari 3.0.0が公開された数時間後に、Windows対応版に脆弱性があることを発見した。

 同氏は14日、自身のブログで、この脆弱性は新版(Safari 3.0.1)で修正されたと述べるとともに、Appleが異例の早さで脆弱性に対応したことを評価している。「この深刻なセキュリティ上の脆弱性を、これほど短時間で修正したAppleを褒めたい。同社はこれまで、対応するのに数週間から数カ月を要していた」

 デービッド・メイナー氏とアビブ・ラフ氏の2人の研究者も、11日にSafari 3の脆弱性を発見した。このうちラフ氏は、14日付けの電子メールで、同氏が発見した脆弱性も新しいベータ版で修正されたと述べている。「(Fuzzingツールの)Hamachiを再度実行して新バージョンをテストした。一見したところ、このバージョンでは脆弱性は修正されている」(ラフ氏)

 もっとも、ラフ氏はAppleの対応に怒っている。Appleが報告書で、脆弱性を発見したセキュリティ研究者の功績について何も触れていないからだ。

 ラフ氏やメイナー氏は今回、Appleのセキュリティ・チームに脆弱性の件を報告しなかった。独立系のセキュリティ研究者に対するAppleの態度が敵意に満ちていると考えているからだ。

 とりわけメイナー氏は、「Black Hat security conference」で実演した無線ハッキングをめぐってAppleから受けた叱責を理由に、断固としてAppleに脆弱性を報告しないと述べている。

 Safari 3ベータのアップデート版は、AppleのWebサイトからダウンロードできる。

(グレッグ・カイザー/Computerworld オンライン米国版)

米国Apple
http://www.apple.com/

提供:Computerworld.jp