Windowsユーザーには米Apple製Webブラウザ「Safari」の使用を避ける理由がもう十分あるのだが,米Microsoftは2008年5月30日(米国時間)さらに深刻な理由を付け加えた。Windows用Safariに「じゅうたん爆撃」と呼ばれる攻撃のきっかけとなる問題が存在し,パソコン乗っ取りに悪用されるアプリケーションの実行を許してしまうのだ(関連記事:Windows版「Safari」にセキュリティ問題、Webアクセスで被害の恐れ)。
この問題を見つけたセキュリティ研究者のNitesh Dhanjani氏によると,Safariのじゅうたん爆撃バグは,Microsoftとは別に同氏が5月中旬に発見した3件あるSafari関連セキュリティ問題の一つと同じものであるという。同氏が発見後Appleに報告したところ,Appleはじゅうたん爆撃バグ以外の2件について修正を約束したが,じゅうたん爆撃バグは「セキュリティ上の問題と考えていない」と返答したそうだ。
Dhanjani氏はセキュリティに関わる事柄とみなしており,問題を解説したブログ投稿記事で「悪質なWebサイトにアクセスすると,パソコンのデスクトップが(実行可能なアプリケーションで)ゴミだらけにされかねない」と述べた。「Safariには,ユーザーから許可を得ない限り(ファイルなどの)リソースをダウンロードさせない,という設定が施せない。そのせいでこの現象が発生する。Safariはユーザーに断りなくリソースをダウンロードし,デフォルトの保存場所に置いてしまう。もう分かっただろう。ユーザーの許可なくマルウエアがダウンロードされ,デスクトップに保存される」(同氏のブログ記事)。
Dhanjani氏に対するAppleの「Safari開発チームに改善リクエストを申請できる」という返答を読むと,同社が当面この問題に対処する気のないことが分かる。「ただし,われわれはこの現象をセキュリティ上の問題としては扱わないが,ユーザーの望まないダウンロードを実行されにくくする方策は考える。これについては,ヒューマン・インタフェース・グループとの検討が必要だ。ダウンロード防止策が導入されるにしても,実現はかなり先になると思う」(Appleの返答)。
一方Microsoftは5月30日の発表で,Safariのバグと,デスクトップ上の実行可能ファイルの扱い方に関するWindowsの仕様が組み合わさって「複合的な脅威」となるため,かなり深刻なバグであるとの見解を示した。同社の出したセキュリティ勧告には「当社はユーザーを守る適切な対策を提供する」とある。「対策としては,ユーザーの状況に応じて,サービス・パックや月例アップデート,緊急セキュリティ・アップデートなどによる修正パッチ提供が考えられる」(Microsoftのセキュリティ勧告)。
Microsoftは効果的な回避策を紹介している。Safariがダウンロード・リソースをハードディスク内に保存する場所をデフォルト値から変えることで,このバグが悪用されることを防ぐのだ。もっと手間のかからない方法を教えよう。Safariの使用を完全にやめ,Windowsの割と優れたセキュリティ意識を理解している開発者の作ったWebブラウザを使えばよい。米Mozilla Foundationの「Firefox」がお薦めだが,Microsoftの「Internet Explorer 7」も悪くない。
