公開日:2006.02.24 07:38 最終更新日:2006.03.05 11:12

TRTA06-053A
Mac OS X の Web ブラウザ Safari に任意のコード実行の脆弱性

概要


Mac OS X の Web ブラウザ Safari には、デフォルト設定において、任意のコード実行の脆弱性が存在します。

Safari ではデフォルト設定において、Resource forks で定められたファイルタイプを参照し、そのファイルタイプが、画像・動画・圧縮ファイルであった場合、"Safe" fileと判断し、自動的に処理を行ないます。

これにより、巧妙に細工されたファイルが "Safe" file と誤判断され、結果的に任意のコード実行をされる可能性があります。

この脆弱性を利用するエキスプロイトコードが既に公開されています。


影響を受けるシステム
 - MacOS X にて Safari を利用しているシステム

2006/2/23 時点において、ベンダからはパッチの提供が行なわれていません。
有効な回避策として、以下の設定を変更することを推奨します。

・Safari の [環境設定] -- [一般] -- [ダウンロード後、"安全な"ファイルを開く]のチェックをはずす。

2006/3/3 時点において、ベンダから修正パッチの情報が英文で提供されております。
詳しくは、ベンダ情報を参照してください。

時系列イベント


日時 (JST)内容
2006-02-20 SANS Institute Serious flaw on OS X を報告
2006-02-21 (米国日付) US-CERT Current Activity として攻略検証コードの公開 ( Public Exploit Code for a Vulnerability in Apple Safari Browser) を報告
2006-02-23 05:58 US-CERT メーリングリスト経由で TA06-053A が届く
#Post-Date: Wed, 22 Feb 2006 15:58:09 -0500
2006-02-28 アップル About Security Update 2006-001 を Web 公開
2006-03-04 05:01 US-CERT メーリングリスト経由で TA06-062A が届く
#Post-Date: Fri, 3 Mar 2006 15:01:28 -0500

参考情報


  1. Technical Cyber Security Alert TA06-053A
    Apple Mac OS X Safari Command Execution Vulnerability
  2. Vendor Status Note JVNTA06-053A
    Mac OS X の Web ブラウザ Safari に任意のコード実行の脆弱性