公開日:2006/02/23 最終更新日:2015/10/21
JVNTA06-053A
Mac OS X の Web ブラウザ Safari に任意のコード実行の脆弱性
Mac OS X の Web ブラウザ Safari には、デフォルト設定において、任意のコード実行の脆弱性が存在します。
Safari ではデフォルト設定において、Resource forks で定められたファイルタイプを参照し、そのファイルタイプが、画像・動画・圧縮ファイルであった場合、"Safe" fileと判断し、自動的に処理を行ないます。
これにより、巧妙に細工されたファイルが "Safe" file と誤判断され、結果的に任意のコード実行をされる可能性があります。
この脆弱性を利用するエキスプロイトコードが既に公開されています。
- MacOS X にて Safari を利用しているシステム
2006/2/23 時点において、ベンダからはパッチの提供が行なわれていません。
有効な回避策として、以下の設定を変更することを推奨します。
・Safari の [環境設定] -- [一般] -- [ダウンロード後、"安全な"ファイルを開く]のチェックをはずす。
2006/3/3 時点において、ベンダから修正パッチの情報が英文で提供されております。
詳しくは、ベンダ情報を参照してください。
遠隔の第三者により、ログインしているユーザの権限で任意のコードが実行される可能性があります。管理者権限のアカウントでユーザがログインしている場合、結果として脆弱なシステムを完全に制御される可能性があります。
| ベンダ | リンク |
| Apple | About Security Update 2006-001 |
| 富士通 | TA06-053Aに対する富士通の情報 |
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory |
Technical Cyber Security Alert TA06-053A Apple Mac OS X Safari Command Execution Vulnerability |
| CPNI Advisory | |
| TRnotes |
TRTA05-53A |
| CVE |
CAN-2006-0848 VU#999708 |
| JVN iPedia |
- 2015/10/21
- ベンダ情報を更新しました
