スラッシュレーン
· 2分で読めます
今月初め、セキュリティ研究者がSafariの脆弱性を暴露しました。この脆弱性により、ハッカーはブラウザの自動入力機能に保存されているユーザーの個人情報を入手できる可能性があります。この脆弱性を悪用することで、氏名、メールアドレス、勤務先、居住地などの情報にアクセスされる可能性があります。
Apple製品セキュリティ担当者からの通知には、「悪意のあるウェブサイトがユーザーの操作なしにオートフィルを起動できる実装上の問題が存在します。これにより、ユーザーのアドレスブックカードに含まれる情報が漏洩する可能性があります」と記載されています。
この脆弱性は、WhiteHat Securityのジェレミア・グロスマン氏によって初めて実証され、Appleはグロスマン氏の報告を高く評価しました。Safariのバージョン4と5の両方がこの脆弱性の影響を受けていました。
したがって、Apple は水曜日にリリースされた 5.0.1 アップデートに加えて、この脆弱性を修正する Mac OS X 10.4 Tiger 用の Safari 4.1.1 もリリースしました。
この脆弱性は、ブラウザの自動入力機能を利用したことがないユーザーにも影響を与える可能性があります。Safariはデフォルトで、オンラインフォームへの入力を支援するためにユーザーのアドレス帳カードから情報を取得するためです。ブラウザをアップデートしていないユーザーは、ブラウザの設定にある「ウェブフォームの自動入力」オプションを無効にすることで、この問題を回避できます。
グロスマン氏によるハッキングの概念実証は、シンプルなウェブサイトに実装することで、わずか数秒でユーザーの情報を取得できることを示している。同セキュリティ研究者は、このデータはスパムメールの送信やフィッシング攻撃に利用される可能性があると述べている。
彼は、電話番号や住所など、数字で始まるオートフィルデータはハッキングによって取得できなかったと指摘した。しかし、名前やメールアドレスなど、その他の情報は危険にさらされていた。
「こうした攻撃は、広告ネットワークを使って簡単かつ安価に大規模に拡散される可能性がある。ルートキットのペイロードを配信するように設計されたエクスプロイトコードではないため、おそらく誰にも気づかれないだろう」と同氏は述べた。
Safari 5.0.1とSafari 4.1.1はどちらも、悪意のあるRSSフィードがユーザーのシステムからリモートサーバーにファイルを送信できる可能性のある別のセキュリティ脆弱性も修正しています。この脆弱性は、SafariのRSSフィード処理におけるクロスサイトスクリプティングの脆弱性を悪用していました。
AppleはRSSフィードの処理を改善することでこの問題に対処しました。この脆弱性は、Googleセキュリティチームのビリー・リオス氏によって最初に報告されました。