Apple謹製ウェブブラウザ"Safari"の情報サイト

security

Safari 7.0.1/6.1.1 アップデート

Safari

アップルからSafari 7.0.1/6.1.1 がリリースされました。ソフトウェアアップデートからダウンロードできるようになっています。

対応 OS はSafari 7.0.1 が Mac OS X Mavericks、Safari 6.1.1 が Mac OS X Mountain Lion, Lion となっています。

About the security content of Safari 6.1.1 and Safari 7.0.1 コメントを見る

このアップデートでは自動入力に関する脆弱性や、Webkit の脆弱性の修正が含まれています。

また、Safari 7.0.1 や Safari 6.1.1 for Mountain Lion ではサイドバーで共有リンクを開いている状態であれば、共有リンクを定期的に更新するようになっています。

関連エントリー

Safari6.0.4/5.1.9 アップデート

Safari

アップルからSafari6.0.4/5.1.9がリリースされました。ソフトウェアアップデートからダウンロードできるようになっています。Java Webプラグインをサイト毎に有効するかどうか設定できるようになっています。

対応 OS はSafari6.0.4がMac OS X Mountain Lion, Lion、Safari 5.1.9がMac OS X Snow Leopardとなっています。

About Safari 6.0.4 and 5.1.9 コメントを見る
When you first visit a website that requires the Java web plug-in, Safari presents a prompt similar to this one but containing the specific website:

Safariのセキュリティ設定画面でWebサイトごとにJavaプラグインを、

  • "Ask Before Using(使用前に確認)"
  • "Block Always(常にブロック)"
  • "Allow(インストールされたJavaのバージョンに既知の深刻なセキュリティ問題が存在しない限り実行を許可)"
  • "Allow Always(Safariの介入なしに常に許可)"


の4段階の設定ができるようになっています。

また、Safari6.0.4ではWebkitの深刻な脆弱性が一点修正されています。

About the security content of Safari 6.0.4 コメントを見る

関連エントリー

IPAがWindows版Safariの使用停止を勧告

Safari

独立行政法人情報処理推進機構(IPA)はJVN(Japan Vulnerability Notes/脆弱性対策情報ポータルサイト)にてSafari 6.0.1未満のバージョンのSafariに脆弱性が存在することから、対策版の用意されていないWindows版Safariの使用停止が勧告しています。

JVN#42676559: Safari においてリモートからローカルファイルを読み取り可能な脆弱性 コメントを見る コメントを見る
Apple が提供する Safari には、リモートからローカルファイルを読み取り可能な脆弱性が存在します。
2012年10月23日現在、Windows 版 Safari 6.0.1 は公開されていません。Windows 版 Safari のユーザは使用を停止してください。

今回注意喚起された脆弱性についてはmala氏による解説を一読することをお勧めします

Safariのfile://におけるSame origin policyについてのアップデート - 金利0無利息キャッシング -- キャッシングできます - subtech コメントを見る コメントを見る

SafariにおいてローカルHTMLファイルかローカルファイルを読み取ることが出来るというのは広く知られている問題で、脆弱性として報告されるからには何かしら「攻撃を容易にする方法があった」のだと理解していました。で、表現の問題だと思うのですが、タイトルが"リモートからローカルファイルを読み取り可能な脆弱性"となってて、これだと脅威の度合いを勘違いする人が多いのではという気がします。自分の知る限り、あくまでfile://を何らかの方法でユーザーに手動で開かせる必要があります。

又、MacOS X 10.5(Snow Leopard)もセキュリティアップデートが提供されていないことから、使用差し止めが妥当と思われます。

いずれにしてもAppleは今後Windows版の提供を行わないことを決定したのであれば、その旨アナウンスした上、代替措置を提供しなければ企業として無責任との誹りを免れないのではないでしょうか。

関連エントリー

脆弱性を修正したAdobe Flash 11.3 アップデート

flashplayer

Adobeが複数の脆弱性を修正したFlash Player 11.3(11.3.300.257)をリリースしました。


Adobe - Security Bulletins: APSB12-14 - Security updates available for Adobe Flash Player コメントを見る コメントを見る
Adobe released security updates for Adobe Flash Player 11.2.202.235 and earlier versions for Windows, Macintosh and Linux, Adobe Flash Player 11.1.115.8 and earlier versions for Android 4.x, and Adobe Flash Player 11.1.111.9 and earlier versions for Android 3.x and 2.x. These updates address vulnerabilities that could cause a crash and potentially allow an attacker to take control of the affected system.

必要システム構成はIntel CoreDuo 1.33GHz以上のプロセッサーを搭載したMacOS X 10.6/10.7以降のマシンで、Safari 5以上となります。

また、次のような変更も加えられています。

関連エントリー

Safari 5.1.7で無効化されたFlash Playerの再有功化手順

flashplayer

OS Lion向け及びMac OS X 10.6 Snow Leopard向けのSafari 5.1.7ではセキュリティパッチの当たっていないFlash Playerが無効化されます。

古いFlash Playerがインストールされている場合は,警告ダイアログが表示され、Adobeのサイトへ誘導されますが、何らかの理由でFlash Playerを有効かさせたい人向けにアップルが手順を公開していますので,補足を含めて紹介します。

About Safari 5.1.7 コメントを見る コメントを見る

  1. /Library/Internet Plug-Ins (Disabled) folder.を開く
  2. OS X Lionでは標準ではライブラリは表示されません。Optionキーを押しながらFinderのメニューから『移動』を選択して表示させてください。
    参考→Lionのユーザーライブラリフォルダを表示する方法 2 | Macの手書き説明書 コメントを見る コメントを見る
  3. "Flash Player.plugin" を /Library/Internet Plug-Ins.にドラッグする
  4. ブラウザが動作している場合、終了させて再起動させる

関連エントリー

記事検索
Archives