08/05/22 11:14:29 RuZRELmz0
Safariの「じゅうたん爆撃」問題を指摘したのはセキュリティ研究者のニテシュ・ダーンジャニ氏。
同氏のブログによると、Safariではユーザーの同意を求めることなくリソースがダウンロードされ、
デフォルトの場所(Windowsではデスクトップ、OSXではDownloadsディレクトリ)に保存される
設定になっている。ユーザーの許可を求めるよう、設定を変更することもできないという。
例えば不正iframeを仕込んだ悪質サイトをユーザーが閲覧すると、自動的にファイルがダウンロードされてしまい、
ユーザーの許可なくマルウェアがダウンロードされる恐れもある。ダーンジャニ氏が示した例では、Windowsの
デスクトップが不正ファイルで埋め尽くされた状態になった。
ダーンジャニ氏はAppleにこの問題を通報し、ファイルをダウンロードする前にユーザーの許可を求めるオプションの
提供を提案した。
これに対しAppleは「機能強化のリクエストとしてSafariチームに伝える」としながらも、「当社はこれをセキュリティ
問題としては扱わない」と述べ、対処するとしてもかなりの時間がかかるかもしれないと返答してきたという。
(ITmedia画像) URLリンク(image.itmedia.co.jp)
URLリンク(www.itmedia.co.jp)