Apple、『Safari』の「じゅうたん爆撃」問題を解消

Apple の Web ブラウザ『Safari』を『Windows』で使っている人は、ようやく安心したかもしれない。Apple は19日、修正版の『Safari 3.1.2 for Windows』をリリースし、1か月前から指摘されていた、いわゆる「じゅうたん爆撃」攻撃を招きかねない脆弱性に対応した。

Windows 版の新しい Safari 3.1.2 では、いくつかの問題が修正されている。もっとも注目すべきは、セキュリティ研究者 Nitesh Dhanjani 氏が5月15日に初めて指摘した脆弱性が直った点だ。

Dhanjani 氏は当時、Safari では、悪意のある Web サイトを通じて、ユーザーの同意なくリソースを大量にダウンロードさせ、既定ダウンロード ディレクトリに「じゅうたん攻撃」を仕掛けることが可能だと指摘していた。

Dhanjani 氏が問題を公開してから2週間後に、Microsoft は独自の勧告を発表し、Windows のユーザーに対して、『Internet Explorer』と併せてインストールしている場合には、悪意あるファイルが自動的に実行されるおそれがあるとの警告を発した。

Apple も、Microsoft の技術により問題が悪化することを示唆した。

Apple は Safari 3.1.2 のセキュリティ更新情報のなかで、次のように述べている。「Windows デスクトップにおける実行ファイルの処理方法に問題がある。信頼できないファイルを Windows デスクトップに保存すると、この問題が誘発され、任意コード実行につながるおそれがある」

しかし、この問題を修正するために Apple がとった方法は、比較的単純明快なようだ。

「この問題を軽減するために、ダウンロード ファイルの保存前に確認を求めるよう Safari ブラウザを修正した。また、デフォルトのダウンロード場所を、『Windows Vista』ではユーザーのダウンロード フォルダに、『Windows XP』ではドキュメント フォルダに変更した」と Apple は述べている。