Description: In OS X Mountain Lion HTML files were removed from the unsafe type list. Quarantined HTML documents are opened in a safe mode that prevents accessing other local or remote resources. A logic error in Safari's handling of the Quarantine attribute caused the safe mode not to be triggered on Quarantined files. This issue was addressed by properly detecting the existence of the Quarantine attribute.
馬鹿丸出しだな (スコア:0)
本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。
About the security content of Safari 6.0.1 [apple.com]:
Description: In OS X Mountain Lion HTML files were removed from the unsafe type list. Quarantined HTML documents are opened in a safe mode that prevents accessing other local or remote resources. A logic error in Safari's handling of the Quarantine attribute caused the safe mode not to be triggered on Quarantined files. This issue was addressed by properly detecting the existence of the Quarantine attribute.
つまり、 Safari 6 で導入された新しい機能のバグ。6.0で登場し6.0.1で対応がなされた訳で、この脆弱性が存在するバージョンは6.0だけ [iss.net]だ。周知の通りWindows版の Safari 6 は
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re: (スコア:2, 興味深い)
#2257373氏 [srad.jp]の発言通り、貴方の間違いです。
NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。
(引用したらSlashcodeに怒られたので、影響範囲は各自リンク先をご覧ください)
勘違いしたモデレータにプラスモデされちゃっていますから、ご自身で訂正をなさった方がよろしいのでは?
Re: (スコア:0)
別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?
Re: (スコア:1)
> 別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?
どっちも同じ穴のなんとやらです。
Appleは問題を小さく見せかけるために
「あたかも些細なことのように範囲を絞る」ことをしています。
そういうのは害しかありません。
セキュリティの世界では論外です。
次に、OSレイヤとアプリレイヤの区別をごっちゃにしたcrass氏は
そこで「Safariの脆弱性」を「OSの脆弱性」に混ぜて
Appleの対応は問題ないと主張しました。
もし本気で言っているなら邪魔だ10年勉強してこいレベルの論外ですし、
自身が違和感を感じつつもAppleを擁護するために無茶な意見を主張したなら
これもセキュリティの世界では害であり論外です。
Re:馬鹿丸出しだな (スコア:1)
セキュリティの世界では論外です。
論外だからむしろ、ぴんぴん生きていけるわけか。
ノーガード的な。
#225734についてはもう、十分に誤りだと認識される状況にありましょう。
その勢いでAppleにも噛みついてきてくれ。