Safariにパッチ未提供の脆弱性、すでに攻撃コードも公開

　JPCERT/CCとIPAが運用する脆弱性情報サイト「JVN（Japan Vulnerability Notes）」は12日、Appleが開発・提供しているWebブラウザー「Safari」についての脆弱性情報を公開した。細工を施したHTMLを閲覧させることで、リモートの第三者が、ユーザーの権限で任意のコードを実行できる脆弱性が見つかったとしている。

　この脆弱性は、Safariにおけるwindowオブジェクトの不適切な処理に起因するもの。Safariでは、windowオブジェクトへの参照が残っている状態でwindowオブジェクトを削除することが可能となっており、削除されたwindowオブジェクトをJavaScriptから利用しようとした際に不正なポインター参照が発生。JavaScriptを通じて攻撃者が悪用できるという。

　この脆弱性を悪用した攻撃コードも公開されている。Windows版のSafari 4.0.5で脆弱性の影響を受けることを確認済みだが、その他のバージョンも影響を受ける可能性があるという。回避策として、修正パッチが提供されるまでの間、JavaScriptを無効にすることで脆弱性の影響を軽減する方法を紹介している。

　この脆弱性については、米US-CERTやデンマークのSecuniaなどから数日前に脆弱性情報が公開されていた。