2008年06月11日(水) 16時30分

Windows版Safariの「じゅうたん爆撃」攻撃コードが公開（Computerworld.jp）

　6月8日、あるハッカーが執筆するコンピュータ・セキュリティのブログに、Webブラウザ「Safari」および「Internet Explorer（IE）」の致命的な脆弱性を突くエクスプロイト・コードが、攻撃方法のデモと共に掲載された。

【画像を含む詳細記事】

　セキュリティ専門家の説明によると、同ソースコードは、ユーザーのマシン上で許可なく不正なソフトウェアを動作させることができるというもので、犯罪者がWebベースのコンピュータ攻撃に利用する可能性もあるという。

　セキュリティ・ベンダーの米国Shavlik Technologiesで技術主任を務めるエリック・シュルツ（Eric Shultze）氏は、攻撃コード例が一般公開されたことは「Safariを使っているユーザーにとって非常に大きな問題だ」と述べ、Windows版のSafariユーザーに注意を喚起している。

　Safariの脆弱性は5月15日に、セキュリティ研究家のニテシュ・ダーンジャーニ（Nitesh Dhanjani）氏が発見したものだ（関連記事）。攻撃者は被害者のPCに不正な実行ファイルを自動的にダウンロードさせ、デスクトップ上にファイルが敷き詰められることから「Carpet Bombing（じゅうたん爆撃）」と呼ばれている。

　さらにその2週間後、別のセキュリティ研究家のアビーブ・ラフ（Aviv Raff）氏が、この脆弱性がWindowsおよびIEのバグと併せて攻撃に利用されると、攻撃者は被害者のPC上で許可なくソフトウェアを動作させることができると指摘した。

　米国Microsoftは5月30日にセキュリティ勧告をリリースし、修正パッチに取り組む可能性を示した。

　Microsoftの勧告によると、同脆弱性はWindowsがデスクトップ上の実行ファイルを処理する方法と関係があり、Windows XP/Vistaを含むすべてのバージョンに影響を及ぼすという。同社は「この問題を解決するアップデートを、MicrosoftもしくはAppleがリリースするまでSafariの使用を避けるように」と警告している。

　この件に関し、Appleにコメントを求めたが回答は得られなかった。また、Microsoftも広報を通じて、「セキュリティ対策チームのメンバーは会議中につき回答できない」と答えるにとどまった。

(Robert McMillan/IDG News Serviceサンフランシスコ支局)

■関連キーワード
Apple ｜ Microsoft ｜ Webブラウザ ｜ システム脆弱性 ｜ セキュリティ・マネジメント

■関連記事
［米国］Safariに新たな脆弱性——反マルウェア団体がアップルに改善を要求（2008年05月22日）
［世界］ブラウザ・プラグインの脆弱性、79％は「ActiveX」絡み（2008年04月14日）
［米国］アップル、Webブラウザの新版「Safari 3.1」をリリース——“世界最速”をアピール（2008年03月19日）
［米国］Flash Playerの脆弱性を突く新たな攻撃が発生（2008年05月28日）
［世界］4月のブラウザ市場、IEのシェア急拡大はキャンペーンが原因（2008年05月08日）

http://headlines.yahoo.co.jp/hl?a=20080611-00000001-cwj-secu