【活用ガイド】

JVNDB-2006-000877

Mac OS X の Web ブラウザ Safari に任意のコード実行の脆弱性

概要

Mac OS X の Web ブラウザ Safari には、デフォルト設定において、任意のコード実行の脆弱性が存在します。

Safari ではデフォルト設定において、Resource forks で定められたファイルタイプを参照し、そのファイルタイプが、画像・動画・圧縮ファイルであった場合、"Safe" fileと判断し、自動的に処理を行ないます。

これにより、巧妙に細工されたファイルが "Safe" file と誤判断され、結果的に任意のコード実行をされる可能性があります。

この脆弱性を利用するエキスプロイトコードが既に公開されています。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.1 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


アップル
  • Apple Mac OS X v10.3.9
  • Apple Mac OS X v10.4.5
  • Apple Mac OS X Server v10.3.9
  • Apple Mac OS X Server v10.4.5

想定される影響

遠隔の第三者により、ログインしているユーザの権限で任意のコードが実行される可能性があります。管理者権限のアカウントでユーザがログインしている場合、結果として脆弱なシステムを完全に制御される可能性があります。
対策

ベンダ情報

アップル
  • Apple Security Updates : TA23971
  • Apple セキュリティアップデート : TA23971
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2006-0848
参考情報

  1. JVN : JVNTA06-053A
  2. National Vulnerability Database (NVD) : CVE-2006-0848
  3. US-CERT Vulnerability Note : VU#999708
更新履歴

  • [2009年04月03日]
      掲載

公表日2006/02/23
登録日2009/04/03
最終更新日2009/04/03