Safari

独立行政法人情報処理推進機構(IPA)はJVN(Japan Vulnerability Notes/脆弱性対策情報ポータルサイト)にてSafari 6.0.1未満のバージョンのSafariに脆弱性が存在することから、対策版の用意されていないWindows版Safariの使用停止が勧告しています。

JVN#42676559: Safari においてリモートからローカルファイルを読み取り可能な脆弱性 コメントを見る コメントを見る
Apple が提供する Safari には、リモートからローカルファイルを読み取り可能な脆弱性が存在します。
2012年10月23日現在、Windows 版 Safari 6.0.1 は公開されていません。Windows 版 Safari のユーザは使用を停止してください。

今回注意喚起された脆弱性についてはmala氏による解説を一読することをお勧めします

Safariのfile://におけるSame origin policyについてのアップデート - 金利0無利息キャッシング -- キャッシングできます - subtech コメントを見る コメントを見る

SafariにおいてローカルHTMLファイルかローカルファイルを読み取ることが出来るというのは広く知られている問題で、脆弱性として報告されるからには何かしら「攻撃を容易にする方法があった」のだと理解していました。で、表現の問題だと思うのですが、タイトルが"リモートからローカルファイルを読み取り可能な脆弱性"となってて、これだと脅威の度合いを勘違いする人が多いのではという気がします。自分の知る限り、あくまでfile://を何らかの方法でユーザーに手動で開かせる必要があります。

又、MacOS X 10.5(Snow Leopard)もセキュリティアップデートが提供されていないことから、使用差し止めが妥当と思われます。

いずれにしてもAppleは今後Windows版の提供を行わないことを決定したのであれば、その旨アナウンスした上、代替措置を提供しなければ企業として無責任との誹りを免れないのではないでしょうか。

関連エントリー