Apple が、Web ブラウザ『Safari』の最新版『Safari 3.2』をリリースした。最新版では、既知の脆弱性が複数修正となったほか、フィッシング詐欺の対策機能を新たに搭載している。

Safari 3.2 は『Windows』版と『Mac』版があり、少なくとも11件の脆弱性を修正している。うち3件は、レンダリング エンジン『WebKit』に関連するものだ。これらの脆弱性は、Apple をはじめ、Google や Microsoft に属する複数の研究者が発見していた。

また最新版は、フィッシング詐欺対策機能を新たに備え、ユーザーが偽の Web サイトにだまされ、個人情報を提供してしまうのを防ぐという。

Safari 3.2 で修正となった主な脆弱性を見ていくと、まず1つ目は、同ブラウザによる XML 文書の処理方法に関する脆弱性だ。この脆弱性は、攻撃者に任意のコード実行を許す恐れがあった。Apple が発表した Safari 3.2 のセキュリティ関連情報によると、同脆弱性は、libxslt ライブラリに存在するヒープ バッファ オーバーフローの問題に起因するものだという。

2つ目は、TIFF 画像を表示するだけで悪用されかねない脆弱性だ。Google セキュリティ チームの Robert Swiecki 氏が報告したという同脆弱性では、細工した TIFF 画像をユーザーが表示すると、予期せぬクラッシュや任意のコード実行を引き起こす恐れがあった。

また先述の通り、最新版では、Safari がコア レンダリング エンジンに採用している WebKit の脆弱性も修正となった。うち1件は、Safari のローカル ファイルへの不正アクセスを許しかねないものだ。同脆弱性は、WebKit のプラグイン インターフェースが、プラグインによるローカル URL の起動をブロックしないことが原因だった。

Apple のセキュリティ関連情報によると、「今回の更新では、プラグイン インターフェースを介して起動できる URL の種類を制限することにより、この脆弱性に対処した」という。