パスワードを忘れた? アカウント作成
6500958 story
Safari

Safariに脆弱性が見つかる。Windows版は新バージョンが出ていないためIPAなどが使用停止を勧告 65

ストーリー by hylom
Windows版Safariとはなんだったのか 部門より
unipst 曰く、

IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)による脆弱性対策情報ポータルサイト「JVN」が23日、Apple Inc.が提供しているWebブラウザー「Safari」に脆弱性が含まれていることを発表した(窓の杜)。

JVNの発表によると、Safari v6.0.1より前のバージョンで本脆弱性の影響を受けるとしており、脆弱性を悪用された場合、リモートからローカルファイルを読み取られる恐れがあるとしている。

 本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年10月23日 17時36分 (#2257321)

    Win版Safariを常用してる人っているの?
    動作チェック用としてもアレな感じなのに……

    • by Anonymous Coward

      > 動作チェック用としてもアレな感じなのに……
      プロなら専門的で素人が購入するとは考えにくい開発マシン(別名: Mac)で検証してるよね。

    • by Anonymous Coward

      Windows版Safariって、Windowsを危険に陥れるための卜口E
      だからな、使うやつがアホってなもんだ。

    • by Anonymous Coward

      ただしiTunes入れると、よほど注意しない限り自動的にインストールされてしまう謎のブラウザ。

      • by Anonymous Coward on 2012年10月23日 20時28分 (#2257437)

        両親のPCにSafariが入っていたので、なぜか聞いたらiPod Shuffleを購入し、iTunesのインストールと同時に入ってしまったとのことだった。
        そして、iPod shuffleは小さすぎて、無くしていた。

        親コメント
      • by Anonymous Coward
        でも、最近は、iTunesのインストーラはiTunesだけになっちゃったんですよね。iCloud関連は入りますけど。
        おかげで、たまにQuickTimeを必要とするようなレガシーアプリを使おうとして困ってしまう・・・。
        • レガシー環境がメインなので最近の事情はわかりませんが、付属するQuickTimeが必要最低限に絞り込まれたかiTunes自体がQuickTime無しで動作するように変更されたということですか?
          QuickTime Playerに依存するアプリというのも考えにくいですし。

          親コメント
          • by Anonymous Coward

            Macのほうは(iOSとの共通化の一環で)AV Foundationというのに移行したらしいのでWindowsに移植されたアプリにもそれなりの変更が加えられたんじゃないの。
            QuickTimeがなくなったと聞いたときにはまじショックだった。でもWindowsもDirectShowをフェードアウトさせてMedia Foundationに移行してるしそんなものかー。ちょっとでも勉強を怠るとすぐおいてけぼり。

          • by Anonymous Coward
            Windows版iTunesには今はQuickTimeは含まれていません。一方、iTunesの一部の設定変更には相変わらずQuickTimeが必要という。
            で、QuickTimeの最新版はどこにも置いてなくて、ものすごく分かりにくい場所に置いてある古いバージョンを探してインストールしてオンラインアップデートしなければなりません。
  • by crass (35930) on 2012年10月23日 18時08分 (#2257349) 日記

    本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。

    About the security content of Safari 6.0.1 [apple.com]:

    Description: In OS X Mountain Lion HTML files were removed from the unsafe type list. Quarantined HTML documents are opened in a safe mode that prevents accessing other local or remote resources. A logic error in Safari's handling of the Quarantine attribute caused the safe mode not to be triggered on Quarantined files. This issue was addressed by properly detecting the existence of the Quarantine attribute.

    つまり、 Safari 6 で導入された新しい機能のバグ。6.0で登場し6.0.1で対応がなされた訳で、この脆弱性が存在するバージョンは6.0だけ [iss.net]だ。周知の通りWindows版の Safari 6 は存在しない [appleinsider.com]。Windows版に存在しない脆弱性なので使用を停止する必要などない。

    --
    しきい値 1: ふつう匿名は読まない
    匿名補正 -1
    • Re:馬鹿丸出しだな (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2012年10月23日 18時25分 (#2257365)

      その論調だと
      「mountain lion以外のMacOSバージョンならなにやろうとも脆弱性はない」
      くらい無茶な話になってしまいますね。
      もちろん、その時点でsafari6を入れていたとしても。
      そのくらい無茶なことをあなたは振りかざして暴れています。

      そんなの無茶なのはまともな人間ならすぐ理解しますので、
      「単にAppleの書きっぷりがイマイチなだけ、safari5などもダメだろう」が
      容易に推測されますし
      あなた以外はそれで困りません。

      なぜかあなただけは
      「mountain lion以外ならsafari6でも安全」と言い張っています。
      Appleを守りたいがためにでしょうが本当に気持ち悪い。

      親コメント
    • by Anonymous Coward on 2012年10月23日 18時50分 (#2257373)

      6.0.1に関する記述だから、(6.0.1が)出ていないwindowsに関しては書いていないだけじゃない?
      Vulnerability Summary for CVE-2012-3713 [nist.gov]
      ここでは影響受けるバージョンは6.0.1より前と書いてある

      親コメント
    • by Anonymous Coward on 2012年10月23日 21時33分 (#2257477)

      #2257373氏 [srad.jp]の発言通り、貴方の間違いです。
      NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。
      (引用したらSlashcodeに怒られたので、影響範囲は各自リンク先をご覧ください)

      勘違いしたモデレータにプラスモデされちゃっていますから、ご自身で訂正をなさった方がよろしいのでは?

      親コメント
      • by crass (35930) on 2012年10月24日 5時55分 (#2257619) 日記

        上の方にいる英語も日本語も不自由なACはスルーするとして、CVEのデータベースでは過去の全てのバージョンが含まれてるからIPAのWindows 版 Safari 使用停止の勧告は正しいとする意見には反論しとく。

        NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。

        JPCERTはNIST(NVD)のを写しただけだろうからNVDだけを扱うが、「Vulnerable software and versions」の項目は適当なだけw 今回の脆弱性についての詳細な記事がないので、今回の脆弱性(CVE-2012-3713)を報告したAaron Sigel氏が見つけ本人のブログで記事 [blogspot.jp]になっている別の脆弱性(CVE-2011-3229)と比較してみる:

        CVE-2011-3229 [nist.gov]

        • v5.0で新しい機能の追加 (Safari Extensions introduced) により脆弱性発生
        • v5.1.1でパッチされる
        • NVDによればv5.1以前全てのバージョンに脆弱性がある
        • 発見者Aaron Sigel氏はv5.0より前には影響しないと明記 [blogspot.jp]

        CVE-2012-3713 [nist.gov]

        • v6.0で新しい機能の追加 (HTML removed from unsafe type list) により脆弱性発生
        • v6.0.1でパッチされる
        • NVDによればv6.0以前全てのバージョンに脆弱性がある

        v5.0以前には無い機能に起因する脆弱性なのだからCVE-2011-3229についてはNDVは明らかに間違っている。脆弱性の説明を読めばCVE-2012-3713はv6.0以降の物と分かるので、参考にならないNVDのデータを指し示してv6.0より前のバージョンしかないWindows 版 Safari にもこの脆弱性が存在するとするのは無理がある。大体、この脆弱性はインターネットからダウンロードしたHTMLファイルの属性にその旨を記録して、開くときにその権限を制限するというセキュリティ機能に関連した物だろ。この機能ってWindows 版 Safari にはないんじゃないか?Windows 版 Safari にダウンロードしたファイルに属性をつける機能があったとしてもOSレベルのセキュリティ機能なんだからマイクロソフトが参照しないので意味が無いな。どう考えてもIPAのWindows 版 Safari 使用停止の勧告は馬鹿丸出しなんだが。

        --
        しきい値 1: ふつう匿名は読まない
        匿名補正 -1
        親コメント
        • by tvei (29799) on 2012年10月24日 13時25分 (#2257879)

          JPCERTはNIST(NVD)のを写しただけだろうからNVDだけを扱うが、「Vulnerable software and versions」の項目は適当なだけw

          6.0で登場し6.0.1で対応がなされた訳で、この脆弱性が存在するバージョンは6.0だけ [iss.net]だ

          あなたが参照しているISSの「Platforms Affected」も適当なようですけど。

          CVE-2011-3229 [nist.gov]
          発見者Aaron Sigel氏はv5.0より前には影響しないと明記 [blogspot.jp]

          CVE-2011-3229 [iss.net]

          • Platforms Affected:
             (略)
            Apple Safari 4 Beta
            Apple Safari 4.0
            Apple Safari 4.1
            Apple Safari 4.1.1
            Apple Safari 4.1.2
            Apple Safari 5.0
             (略)
          親コメント
          • by crass (35930) on 2012年10月25日 8時50分 (#2258527) 日記

            あなたが参照しているISSの「Platforms Affected」も適当なようですけど。

            全てのバージョンを含んでないだけ何らかの努力の跡がみられけど確かに間違ってるなw

            どうやらISSは「Platforms Affected」の項目はCVEではなくBIDのデータベースを参照してるようだな。CVE-2011-3229つまりBID-50163 [securityfocus.com]の説明を読むと間違いの原因が推測できる:

            NOTE: This issue was previously covered in BID 50089 (Apple Safari Prior to 5.1.1 Multiple Security Vulnerabilities) but has been given its own record to better document it.

            BID-50089には複数の脆弱性が含まれるからv4.xも影響を受けるとなってる所に、そこから派生させたBID-50163にも流用されてしまったという事なんだろう。

            --
            しきい値 1: ふつう匿名は読まない
            匿名補正 -1
            親コメント
      • by Anonymous Coward

        別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?

        • by Anonymous Coward on 2012年10月23日 23時24分 (#2257547)

          > 別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?

          どっちも同じ穴のなんとやらです。

          Appleは問題を小さく見せかけるために
          「あたかも些細なことのように範囲を絞る」ことをしています。
          そういうのは害しかありません。
          セキュリティの世界では論外です。

          次に、OSレイヤとアプリレイヤの区別をごっちゃにしたcrass氏は
          そこで「Safariの脆弱性」を「OSの脆弱性」に混ぜて
          Appleの対応は問題ないと主張しました。
          もし本気で言っているなら邪魔だ10年勉強してこいレベルの論外ですし、
          自身が違和感を感じつつもAppleを擁護するために無茶な意見を主張したなら
          これもセキュリティの世界では害であり論外です。

          親コメント
    • by Anonymous Coward on 2012年10月23日 20時49分 (#2257450)

      Safari 6のリリース時にこれだけ脆弱性が修正されたと言っていますが何か?
      https://support.apple.com/kb/HT5400 [apple.com]
      むしろなんで今さらこんなこと言い出すんだろう。遅すぎ。

      親コメント
  • by Anonymous Coward on 2012年10月23日 18時17分 (#2257357)

    Appleのセキュリティホールっぷりには頭が下がる。
    どうやったらこの姿勢を改められるのかね

  • by Anonymous Coward on 2012年10月23日 19時05分 (#2257384)

    safari6でゴシック体表示とRSSの購読が出来なくなった。
    この改悪でマカーですら5.1に踏みとどまるか、別のブラウザに移った人は少なくないと思う。

    CSSとかplug-in入れてsafari6を使う人が真の信者なのかも知れないけどね。

    • IE使いと同じで、改悪だ改善だって話に何も関係なく使ってる人が大多数では?
      親コメント
    • by Anonymous Coward

      SafariのRSS購読ってサイトによってできたりできなかったりだったので、かつては使っていましたが固執するほどのものでもなかったような。
      スタイルシートの導入にいたっては信者とか持ち出すほどのハックではなく普通のノウハウだと思います。

      という事情を反映して、実際Safariのシェアはほとんど変化ありません。 [statcounter.com]

      • by Anonymous Coward

        それ、safariの5.xも含まれているのでは?

        http://lhsp.s206.xrea.com/misc/browser-share-version.html [xrea.com]
        だと6.0の人は少ない。
        この人達が6.0に居続けているとも思えないけど。

        • by Anonymous Coward

          StatCounterの方はブラウザのバージョンごとのデータもありCSVがダウンロードできるので比較できます.
          6.0が出た今年の7月から5.1は着実に減っていますから、これらのユーザーは6.0に移行しているか他のブラウザに移っていることになります.
          そしてSafari全体のシェアは微増で減っていないことから,Safari6.0を見限ったようなユーザーは統計に表れない程度のマイノリティであることがわかります.10.6以前のユーザーは移行しようがないのでSafari5ユーザーは0にはならないでしょうが.

  • マイナスにしかならないように思える

    • by Anonymous Coward

      動画再生やイメージの展開とかにQuickTimeのライブラリを使ってるとかじゃね?

      • by Anonymous Coward

        Win版Safariの開発を打ち切ったのはAV Foundationを移植したくなかったからではないかと

        • by Anonymous Coward

          ×移植したくなかった
          ○移植できる技術がない

          • by Anonymous Coward

            iTunes では AV Foundation を使っていない、とおっしゃるので?
            # ソンナバカナ

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...