「Internet Explorer」や「Firefox」と違って、ブラウザ「Safari」はファイルをダウンロードする際、ユーザーの許可を求めない。そのため、Safariのユーザーは、悪質なソフトウェアの被害に合う恐れがあると、セキュリティ研究者が米国時間5月15日、警告を発した。
Safari Carpet Bombというタイトルのブログ投稿の中で、Nitesh Dhanjani氏は、悪質なウェブサイトからWindowsのデスクトップやMacのダウンロードディレクトリにリソースをダウンロードすることがいかに容易かを説明している。
また、同氏は「Appleはこれが今回対処すべき問題であるとは認識しなかった」と述べている。
Appleの関係者からはDhanjani氏に対し、「何かをダウンロードする際はユーザーに許可を求める」という「機能強化の要望」は、Safariチームに報告するとの連絡があったという。Appleの関係者がDhanjani氏に送った電子メールには「これはセキュリティ上の問題とは認識していないことを注意されたい。これは、さらなる対策を施し、不要なダウンロードに対するバリアを高めるための措置である」と書かれていた。
Dhanjani氏は取材に応じ、SafariはHTMLファイルのようなローカルのリソースが、クライアントサイドスクリプティングなどを実行しようとしたときなどに警告を出さないため、ユーザーを危険にさらしていると述べた。「今日のユーザーは、ブラウザにより多くのことを求めるようになっている」(Dhanjani氏)
Apple関係者は、Appleが「ローカルのHTMLファイル向けの『セーフ』モードようなものを検討している」とDhanjani氏に伝えていた。
その一方で、AppleはDhanjani氏が発見した高リスクのセキュリティ脆弱性を修正することを計画している。この脆弱性は、遠隔地から、ユーザーのファイルシステムにあるファイルを盗難される恐れがあるというもの。
Appleの広報担当に電子メールと電話で問い合わせたが、コメントは得られなかった。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス