Apple謹製ウェブブラウザ"Safari"の情報サイト

autofill

Safari 7.0.1/6.1.1 アップデート

Safari

アップルからSafari 7.0.1/6.1.1 がリリースされました。ソフトウェアアップデートからダウンロードできるようになっています。

対応 OS はSafari 7.0.1 が Mac OS X Mavericks、Safari 6.1.1 が Mac OS X Mountain Lion, Lion となっています。

About the security content of Safari 6.1.1 and Safari 7.0.1 コメントを見る

このアップデートでは自動入力に関する脆弱性や、Webkit の脆弱性の修正が含まれています。

また、Safari 7.0.1 や Safari 6.1.1 for Mountain Lion ではサイドバーで共有リンクを開いている状態であれば、共有リンクを定期的に更新するようになっています。

関連エントリー

Safari 5.0.1(及び Safari 4.1.1)で「Autofill機能からアドレス帳の情報が漏洩する危険性」が修正

拡張対応ばかりに注目が集まっている Safari 5.0.1 ですが、しっかりとセキュリティ対策もなされています。
その中で先日話題になったAutofill機能からアドレス帳の情報が漏洩する危険性が修正されたようです。

Safari 5.0.1 および Safari 4.1.1 のセキュリティコンテンツについて

Safari の自動入力機能により、Mac OS X のアドレスブック、Outlook または Windows のアドレス帳の指定の情報が Web フォームに自動的に記入されてしまうことがあります。設計上は、Web フォーム内で自動入力機能を実行するには、ユーザの操作が必要です。悪意を持って作成された Web サイトで、ユーザの操作なしに自動入力機能が実行される、実装に関する問題が発生する可能性があります。これにより、ユーザのアドレスブックカード内に含まれる情報が開示される可能性があります。この問題が発生する前提条件は、第一に、Safari の環境設定の「自動入力」の下の、「自分のアドレスブックカードの情報を使用」のチェックボックスが選択してあること、第二に、ユーザのアドレスブックに「自分のカード」として指定したカードが存在することです。自動入力機能では、この特定のカードの情報のみがアクセスされます。この問題は、自動入力機能がユーザの操作なしに情報を使うことを禁止したことで解消されています。iOS を実行しているデバイスは影響を受けません。この問題は、WhiteHat Security の Jeremiah Grossman 氏の協力により報告されました。

About the security content of Safari 5.0.1 and Safari 4.1.1

Safari's AutoFill feature can automatically fill out web forms using designated information in your Mac OS X Address Book, Outlook, or Windows Address Book. By design, user action is required for AutoFill to operate within a web form. An implementation issue exists that allows a maliciously crafted website to trigger AutoFill without user interaction. This can result in the disclosure of information contained within the user's Address Book Card. To trigger the issue, the following two situations are required. First, in Safari Preferences, under AutoFill, the "Autofill web forms using info from my Address Book card" checkbox must be selected. Second, the user's Address Book must have a Card designated as "My Card". Only the information in that specific card is accessed via AutoFill. This issue is addressed by prohibiting AutoFill from using information without user action. Devices running iOS are not affected. Credit to Jeremiah Grossman of WhiteHat Security for reporting this issue.

その他にもいくつかセキュリティ対策がなされていますので、Safari 5.0 もしくは Safari 4.1 をお使いの方はアップデートすることが推奨されます。

SafariのAutofill機能からアドレス帳の情報が漏洩する危険性

Safari 5.0.1(及び Safari 4.1.1)で「Autofill機能からアドレス帳の情報が漏洩する危険性」は修正されました。

SafariのAutofill機能からアドレス帳の情報が漏洩する危険をセキュリティ研究者のJeremiah Grossman氏(WhiteHat SecurityのCTO)が公開しています。(via.Safariの「自動入力」をオンにしていると情報を抜かれる可能性があるよ、という英語の記事。 (BlogPeople Blog)

Jeremiah Grossman: I know who your name, where you work, and live (Safari v4 & v5) コメントを見る コメントを見る

Right at the moment a Safari user visits a website, even if they’ve never been there before or entered any personal information, a malicious website can uncover their first name, last name, work place, city, state, and email address. Safari v4 & v5, with a combined market browser share of 4% (~83 million users), has a feature (Preferences > AutoFill > AutoFill web forms) enabled by default. Essentially we are hacking auto-complete functionality.

AutoFillはアドレス帳の情報をフォームに自動で入力する機能ですが、

フォームにnameとかcityとかemailと付けたフィールドを用意してJavaScriptを使ってAからZまでアルファベットを入力させるとどっかで自動入力が働いてフィールドが埋まるので、埋まったらそれがそれに該当するもの、ということで次々と抜いていく、というテクニックのようです

既に実証コードも公開されており、利用者はAutofillをオフにすることが推奨されるとされています。

その他、これらの記事が参考になります。

記事検索
Archives