Windows版Safariがアップデート

Windows版Safariがアップデート（3.1.2へ）。

先日の「じゅうたん爆撃」問題への対処を行ったそうです。Safari利用者はアップデートをしたほうがよいでしょう。

Windows、Safari、IEの組み合わせにはご注意を
SafariとWindowsの「仕様」の組み合わせで脆弱性が生じる。

Safariはファイルのダウンロードをユーザの確認なく実行します。標準ではデスクトップにダウンロードするそうです。この仕様を悪用した「じゅうたん爆撃」という問題があります。
これだけならばせいぜいファイルが大量にダウンロードされてしまう、で終わるのですがこれにIEが組み合わさると問題が発生します。
IEはデスクトップ上のDLLを取り込む仕様になているそうです。ここで３つの「仕様」の組み合わせで脆弱性が発生するのです。

つまり「じゅうたん爆撃」でDLLをダウンロードさせ、次にIEを起動すると悪意あるプログラムが動いてしまうというもの。
IEはWindowsで標準インストールされていますから、いつこうした問題が発生するかわかりません。

Safariのほうはこれをセキュリティの問題とは捉えていないようなので、修正するのかどうかも不明です。
IEのほうも古くからある仕様で特に変更するつもりはなさそう。

ということで現状ではSafariの標準ダウンロード先をデスクトップ以外に変更しておくしかなさそうです。

考えるほうもよく考えるな～と少し感心してしまいましたが、責任の所在の明らかにならない問題になっており誰も積極的に修正しようとしていないという事態は困ったものだな、とも思います。まずは自分の身は自分でガードしましょう。

タグ：Safari 脆弱性 じゅうたん爆撃 アップデート