セキュリティ・ベンダーやセキュリティ組織は7月31日,Webブラウザ「Safari」に新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにアクセスすると,Safariが不正終了させられたり,任意のプログラムを実行されたりする恐れがある。修正版などは未公開。JavaScriptを無効にすることなどが回避策となる。

 今回見つかったのは,HTMLのレンダリング・エンジン「KHTML」に関するセキュリティ・ホール。divタグの要素に含まれるscriptタグを適切に処理できない場合がある。このため,細工が施されたWebページを読み込むとメモリー破壊が発生して,Safariが不正終了する。Webページに含まれる任意のプログラムを実行させられる可能性もあるという。実際,セキュリティ・ホールの発見者は,Safariを不正終了させるデモ・ページを公表している。

 今回のセキュリティ・ホールは,すべてのパッチ(アップデート)を適用したMac OS X上の最新版のバージョン2.0.4(419.3)で確認されており,これ以前のバージョンも影響を受けるだろうとしている。ただしセキュリティ・ホールの発見者によると,同じくKHTMLを使用している「Konqueror」は,「不思議なことに(Strangely enough)」影響を受けないという。

 開発元である米Apple Computerからは,今回のセキュリティ・ホールに関する情報や修正版(アップデート)は未公表。現時点での回避策は,JavaScriptを無効にすること。信頼できないサイトへはアクセスしないことも,有効な回避策である。

発見者の情報
デンマークSecuniaの情報
フランスFrSIRTの情報