米SANS Instituteなどは現地時間2月20日,Mac OS Xで稼働するWebブラウザ「Apple Safari」に危険なセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページへアクセスするだけで,悪質なプログラムを実行される可能性がある。対策はSafariの設定変更など。【2月21日追記】当初SANS Instituteなどは,今回のセキュリティ・ホールはSafariに存在するとしていたが,実際にはMac OS Xのセキュリティ・ホールであり,Safariを使っていなくても影響を受ける場合があるとして注意を呼びかけた。【以上,2月21日追記】

 今回のセキュリティ・ホールは,デフォルトで有効な機能「ダウンロード後,“安全な”ファイルを開く(Open 'safe' files after downloading)」に関するもの。同機能は,ダウンロードしたファイルをSafariが安全と認識した場合,自動的にそのファイルを開く(展開する)機能。安全なファイルかどうかは,ファイル形式で判断する。具体的には,動画や画像,音声,PDF,テキスト,アーカイブ(圧縮ファイル)などのファイルを安全とみなす。

 この機能を悪用すれば,Webサイトの管理者(運営者)は,同サイトへアクセスしたユーザーに任意のプログラムを実行させることが可能となる。まず,悪質なシェル・スクリプト・ファイルを含む圧縮ファイルをダウンロードさせるようなリンクをWebページに張っておく。Safariユーザーがそのページにアクセスすると,圧縮ファイルがダウンロードされる。Safariは圧縮ファイルを安全なファイルと認識し自動的に展開する。そして,Mac OS Xマシン上で,そのスクリプトを勝手に実行してしまう。この間,警告などは一切表示されない。ユーザーが何もしなくても,そのユーザーの権限で,シェル・スクリプトが勝手に実行されてしまうのだ。

 現時点では,セキュリティ・アップデート(修正パッチ)などは公開されていない。このため,Safariの設定変更で回避する必要がある。具体的には,「Safari」メニューの「環境設定」から「一般」を選択し,「ダウンロードリスト項目から取り除く」項目にある「ダウンロード後,“安全な”ファイルを開く」のチェックを外す。もちろん,信頼できないサイトへアクセスしないことも有効な回避策の一つである。

【2月21日追記】今回の「ZIP形式の圧縮ファイルを展開すると,中に含まれるシェル・スクリプトが勝手に実行されてしまう」セキュリティ・ホールは,Mac OS Xのセキュリティ・ホールである。Safariのセキュリティ・ホールではない。このため,Safariを使っていなくても,今回のセキュリティ・ホールを悪用される可能性はある。 例えば,悪質なZIPファイルがメールに添付されて送られてくる場合もありうる。

 とはいえ,Safariの「ダウンロード後,“安全な”ファイルを開く」機能と組み合わせた攻撃が最も危険であることは確かである。この機能を無効にすることで,攻撃を受ける可能性を小さくできる。併せて,信頼できない圧縮ファイルは展開しないことが重要である。【以上,2月21日追記】

◎参考資料
Serious flaw on OS X in Apple Safari