Safariのﾌｧｲﾙを自動的にﾀﾞｳﾝして実行する脆弱性

http://www.yomiuri.co.jp/net/cnet/20080603nt08.htm

　このSafariの「Carpet Bombing」攻撃は、Nitesh Dhanjani氏によって
5月に初めて報告されたが、Appleは深刻な問題とは認識しなかった。
　　　　　　　　　　　　　　　　　^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Dhanjani氏の説明によると、ユーザーはAppleのWindows向けSafariを使用して、
「http://malicious.example.com/」などの悪意を持って作られたウェブサイトにアクセスする。
すると、Safariは「blah/blah」のコンテンツタイプを処理する方法がわからないため、
carpet_bomb.cgiのダウンロードを開始し、ログオンユーザーと同じ権限でダウンロードしたファイルを実行してしまうという。
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
その結果、被害者のデスクトップは、さまざまな悪意あるファイルであふれることになる。



SafariはWindowsに被害を与える為に、悪意を持って
この問題を放置したに違いない。

Macがセキュリティ弱いのは昔から。
今まではマニア以外買わなくて、シェアも低いからクラッカーに無視されていただけ。
最近売れるようになったからちょっかい出されてるが、あぽーのセキュリティ意識が低いのは変わらない。

AppleSoftwareUpdateで勝手にSafariダウソする荒業に出て
スパイウェア認定されそうになったんだよね。
それで慌てて仕様変更した

受信したメールで勝手にウィルス感染するとか
MSのWindowsってソフトは深刻な問題に認定されないのかい?

そんなことあるわけねーだろjk。マックとは違うよw
セキュリティー対策万全の最新OSVistaとオンボロMacを一緒にすんな

ぜいじゃくぜいじゃく〜

Safari（笑）

βでの不具合の出方やその後の状況から
セキュリティをまったく考えない糞設計思想であることは容易に理解できたが
案の定ってところだなｗ

Apple製品って見た目がイイ男ならファックされても構わないと考えてる
スイーツ（笑）連中が使うものだからこれで問題ない

safariとは一体なんだったのか

やっぱりマイクロソフト製品じゃないと安心して使えないという
いい例だったな。Windowsを買わないと個人情報漏れて危険だよ
パソコン買うなら最新OSのWindowsVista!!!

元Microsoft本社のOS開発プログラマーで
Windows95、Windows98、Internet Explorer 3.0/4.0のチーフアーキテクトを歴任した天才は
こう言っています


＞意味もなく重くなっただけのVistaに比べて完成度の高いOS-X


なぜオープン系開発者の間でMacへのシフトが急速に進んでいるのか
ttp://satoshi.blogs.com/life/2008/05/mac.html

スティーブ・バルマー、プレゼンでMacBookを使う
ttp://www.gizmodo.jp/2008/05/macbook_14.html
いっとくど漏れはWin使いですお。

>>11
どうみてもフォトショップで編集した捏造画像だろ（笑）
そうでもしないとWindowsに勝てないマカー乙

このニュースを見て、ジョブズの嫌がらせかとで思った

>>12
おいおい　これマジの話だぞ

>>10
＞Windows95、Windows98、Internet Explorer 3.0/4.0のチーフアーキテクトを歴任した天才は
今となっては脆弱性以前のセキュリティ無視ソフト群を手がけた天才ｗ

＞意味もなく重くなっただけのVistaに比べて完成度の高いOS-X
セキュリティ重視で重くなったVistaに比べて脆弱度の高いOS-X、だろｗ

>>14
証拠をだせよw
マカー必死杉

>>15
そう思い込みたいのはよく分かりますけど
もう少し現実を認識した方がいいですよw

>>16
写真が証拠だろうがwww
捏造写真かどうか調べればわかるだろ

>>16
プレゼンでWindowsなんか使えないだろ
プレゼン中にあぼーんしちゃうんだから
中の人の事情も汲み取ろう

結構話題になった話なのにホントドザって情報弱者なんだな
おまけに捏造ってwwwww

>>1
スレッドタイトルは、もっと誤解しにくくしてほしいなぁ。
最初、
「Safariのﾌｧｲﾙ」を自動的にﾀﾞｳﾝして実行する脆弱性
と勘違いしたよ。

　「Safariがファイルを勝手にダウンロードして実行しやがる脆弱性」

これなら誤解しなくて済む。

＞「Safariのﾌｧｲﾙ」を自動的にﾀﾞｳﾝして実行する脆弱性

ガクブルだな

Windowsの糞仕様を見落としたAppleの責任だな

>>23
糞Appleが全部悪いだろ
どうみても、こんかいの件はWindowsは被害者にすぎない。
Vistaなら最高性能のセキュリティ備えてるしな

>>22
意図せずに safariをインストールされてしまう可能性は実際にあったりする。
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080324/296825/

>>24
＞Microsoftは、Safariに標準設定されたファイルのダウンロード場所と
＞Windowsデスクトップのファイルの扱い方が組み合わさって、
＞複合的な脅威が発生していると述べている。

Windowsデスクトップのファイルの扱い方にも問題があるようですね

>>23>>26
Firefoxもデフォルトの保存先がデスクトップになるんだが（Windows XPの場合）
何でSafariだと脆弱性って言われて、Firefoxだと脆弱性って言われないんですかね？

Apple（笑）

>>27
知りません
MSがそう発表してるんで
MSに聞いて下さい

>>28
Safari（笑）

IE（笑）

IEの放置されてる脆弱性のほんの一部
http://WWW.secureinfo.jp/archives/2008/04/microsoft_inter_44.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_jet_d_1.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_43.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_42.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_41.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_40.html
http://WWW.secureinfo.jp/archives/2007/10/microsoft_inter_39.html
http://WWW.secureinfo.jp/archives/2007/09/microsoft_inter_38.html
http://WWW.secureinfo.jp/archives/2007/08/microsoft_inter_37.html
http://WWW.secureinfo.jp/archives/2007/07/microsoft_inter_36.html
http://WWW.secureinfo.jp/archives/2007/06/microsoft_inter_35.html
http://WWW.secureinfo.jp/archives/2007/06/microsoft_inter_34.html

>>30
そのページUNIX・Linuxの脆弱性のほうが多いな
やっぱり最強のOSはWindowsで、安全なのはIEと証明された

>>31
そりゃUNIX系OSは種類が多いですから数は多いですよ
でも対策見れば分かりますがほとんどバッチが出てますからね
放置してるWindowsとは脆弱性の数が全然違います
一番危険なOSはWindowsですよ
実際の被害報告もWindowsばかりじゃないですかw

MacがIntelになってMacウイルス増えるぞーって騒がれて確かに増えたけど
結局Mac上でWindows動かすからMacウイルス作る意味なくなったんだよなｗ
Mac大量導入してる所だけスピア型攻撃されるから脆弱性明らかにならないしｗ

パッチ試作して、ソフ板のスレにあげてみたお

>>27
Safariに、勝手にファイルをダウンロードして保存するバグがあるからだろ？

普通はクリックしてダウンロードしたファイルが保存されるわけで、
「自分がダウンロードしたファイル」と思っているが
実は勝手にダウンロードさせられた知らないファイルが、
デスクトップにあれば、間違って実行してしまうだろうな。

開始2分で陥落したMacが何をいってる

>>36
あれは既知の脆弱性を攻撃してはいけないルールだったからね
放置されてる既知の脆弱性を攻撃してればどうなったかなw

IEの放置されてる脆弱性のほんの一部
http://WWW.secureinfo.jp/archives/2008/04/microsoft_inter_44.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_jet_d_1.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_43.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_42.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_41.html
http://WWW.secureinfo.jp/archives/2008/03/microsoft_inter_40.html
http://WWW.secureinfo.jp/archives/2007/10/microsoft_inter_39.html
http://WWW.secureinfo.jp/archives/2007/09/microsoft_inter_38.html
http://WWW.secureinfo.jp/archives/2007/08/microsoft_inter_37.html
http://WWW.secureinfo.jp/archives/2007/07/microsoft_inter_36.html
http://WWW.secureinfo.jp/archives/2007/06/microsoft_inter_35.html
http://WWW.secureinfo.jp/archives/2007/06/microsoft_inter_34.html

>>37
リンク先みたが、○○の可能性がありますとしか書いてないじゃん。
どうみても、ありもしない事を大げさに騒いでいるだけだろ…
月が地球に落ちてくる可能性がありますとかいって恐怖煽るのと同じ。

>>37
それでも、Vista SP1がMacの様にはならなかっただろうね・・・

>>38
脆弱性なんかほとんど可能性の話だろ
それを言ったらこのスレのSafariの話だって可能性の話なんだがw

>>40
Safariの話は実際に、サンプルが存在してるからなぁ。
可能性じゃ済まされないかな。

>>39
コンテストのルール上2日目はバンドルアプリしか攻撃できなかったから
2日目にSafariの脆弱性でMacは陥落したが
他社製のアプリも攻撃対象にした3日目には
VistaもAdobe Flashの脆弱性で陥落してるんだよ
何が違うかといえばバンドルアプリかそうじゃなかったかの違いだけ
実際はAdobe Flashなんかほとんどのユーザーがインストールしてるわけだから
コンテストじゃなければ危険性は同じレベルにあったってことだ
現在ではコンテストで指摘されたSafariとAdobe Flashの脆弱性は塞がれている
依然として塞がれていないIEの脆弱性は残っているわけだが

>>41
実害が無い以上可能性の問題だよ
実害が出てはじめて可能性じゃなくなる

>>42
バンドル製品かそうでないかの違いが意味するところは、Appleの品質管理面の問題かな。
バンドル製品だけで、すでにそんな問題を起こすなら、他にも公開されていない脆弱性が
たくさん眠ってそうだよね。

>>43
定義の問題であって、実質、実害がでてるのと変わらないなぁ。それは。

コンテストやサンプルでどうであろうと
何の実害も無いMacと
現実の世界で脆弱性をさらけ出して
セキュリティー問題起こしまくりのWindows
実質どちらが安全かは議論するまでもないよねw

＞あれは既知の脆弱性を攻撃してはいけないルールだったからね
＞放置されてる既知の脆弱性を攻撃してればどうなったかなw

リンクに張ってあるセキュリティホールはコンテスト一日目ではすべて実行できないから、
既知のセキュリティホールをついてもMacより早く陥落できんよ。

マック使う人は、人間性に重大な欠陥あるからな
パッチも出ないままだし。ゴミ箱にすてたほうがいいかもw

>>46
もう塞がったけど
コンテスト時点では落とせる既知の脆弱性があったんだよ

どれ？

>>47
WinとMacを逆にして書いてるな（爆笑）
パッチは未だ有りませんって放置されている穴の数でもWindowsはぶっちぎりwwwww

>>49
4つ程あったんだが3つは削除されてるな
1つは残っているしまだ塞がってないわw
http://www.secureinfo.jp/archives/2008/03/microsoft_inter_40.html

まあコンテストやサンプルでしかMacの脆弱性を指摘できないドザは
かわいそうだな
Windowsは実害が山ほどあるし
セキュリティーソフトは常駐の必需品
Macはセキュリティーソフトなんか（今のところ）いらんからなw

そういやWindowdsだって実害ないじゃんｗ

>>53
おまえは情報弱者かw
気をつけろよ

USBメモリ刺しただけでウィルスが動き出すってどんだけ糞OSなんだよw

ＵＳＢメモリー：ウイルスにご注意　「オートラン」被害増加
http://mainichi.jp/life/electronics/news/20080524ddm012040104000c.html


AppleもWindowsの糞っぷりに気付いていればSafariも問題なかったんだろうが
まさか今時こんな糞OSが存在するとは思わんわなw
今頃クパチーノも「工ｴｴｪｪ(´д｀)ｪｪｴｴ工それは無いだろ！」
って言ってるよ

>>54
便利さとの引き換えだね。

WindowsではUSBメモリをさすだけで、
指定したアプリが起動してくれるんだ。
これは使いやすい。

でも便利さを悪用するやつっているんだよね。

もし自動起動しなければ安全だね？
さしてもファイルを開かなければ大丈夫。
あれ？ でもそもそもファイル開くためにさしたんじゃなかったっけ？
自動起動しなくても、ユーザーが起動させるんじゃ・・・

まあ、Macであっても、

ダウンロードフォルダに自分がダウンロードした（と思っている）ファイルがあれば

実行してしまうんじゃね？



勝手にファイルをダウンロードするのは
やっぱりSafariの脆弱性だ。

>>55
刺しただけでウィルスが動き出すのと
ユーザーが起動するのとでは天と地くらいの差があるのだが
糞OSに慣らされたセキュリティー意識のないドザには対した違いに見えないのかな？

>>56
警告が出るだろ
Windowsは出ないのか？
なんでもかんでもOK押す癖は直したほうがいい

でもさぁ、

USBメモリさしたら、中に入っているファイル開くだろ？普通。

>>58
この間、ダウンロードしたファイルを開いても
警告なんかでなかったが？

それに、ダウンロードしたファイルを実行したときに
必ず警告がでるのなら、慣れてしまって意味がないと思わないか？

http://www.youtube.com/watch?v=aBJQ5085kSo
マックだって差しただけで起動するじゃねーかよ！

まぁWindowsならノートンとかがあるから平気だけどね。

>>59
目的のファイルは開くだろうが
わけ分からんファイルは開かないわな

こういうアホどもがいるから、情報漏洩が後をたたないんだよ、ドザ

少しは自覚しろw

>>61
それに慣れてはいけない
まだこなれてないがWindowsもVistaで
やっとUNIX並の権限管理の仕組みを取り入れたんだから
それに従うべき
UACが鬱陶しくても切ってはいけない

大切な情報扱うときはもっとリテラシーの高いやつ使うべきなんだよ
ドザみたいな意識の低いバカに大切な情報扱わせちゃいかんってw

確かにユーザーが少ないMACに大切な情報を預けたほうが安心だな。
狙われないから。

もうMac狙ったスパイウェア出たけどな

>60
MacOSXで、落としたアプリが警告出なかったことは今のところ無いなあ。
ファイル、ってことはアプリでは無いのかな？
マクロとかで突かれると弱いんだろか。

これが不具合のバーゲンセールだ！！　MacBook　9つの不具合まとめ。全てソース有りver

�@充電機能の不具合でバッテリーが爆発、炎上（アップルボム）
http://gigazine.net/index.php?/news/20070313_macbook_inferno/
�A突然電源が落ちる（幻のオートシャットダウンシステム）
http://netafull.net/mac/014834.html
�B落ちる原因の一つでもあるかもしれない熱暴走
http://japanese.engadget.com/2006/06/06/macbook-vent/
�Cアダプターが発火
http://japan.cnet.com/news/tech/story/0,2000056025,20352948,00.htm?ref=rss
�D謎の黄ばみ
http://japanese.engadget.com/2006/07/26/macbook-whinning-discoloration/
�E謎のひび割れ
�F謎の不快なノイズ
http://japanese.engadget.com/2006/10/28/macbook-crackbooks/
�G訴えられるほど酷い低品質液晶
http://japan.cnet.com/news/tech/story/0,2000056025,20349226,00.htm
�H内蔵中国製HDDの不良による壊滅的なデータ損失
http://japan.cnet.com/news/ent/story/0,2000056022,20361827,00.htm

WinのSafariのインターフェイス見てみたい。

対抗パッチ(100%回避ではないけど)だいぶできた

Apple、MSが勧告したセキュリティ問題に対応した「Safari」v3.1.2を公開　08/06/20　13:00
http://www.forest.impress.co.jp/article/2008/06/20/safari312.html

ヽ(´ー｀)ノ

>>67
それは、ど田舎に引っ越ししたほうが
都会の真ん中で暮らすより安全。

と、同じような意味か？

>74
同じような意味じゃね？
そのMac村という田舎でも、ある程度便利に生活できるインフラ（Webで色々できちゃうとかね）が整っちゃったから
昔ほどMac村暮らししても問題ないレベルになっちゃってるし。

生活が便利と同でもいい。

安全の根拠が、田舎かどうかって話だ。
田舎は安全ｗ

487 名無しさん＠お腹いっぱい。[sage] 2008/08/05(火) 22:00:12 ID:C+/IiFEA0
フィッシング未対策のSafariは使うべきではない―消費者団体がMacユーザーに警告
ttp://www.computerworld.jp/topics/vs/117609.html

488 名無しさん＠お腹いっぱい。[sage] 2008/08/05(火) 22:43:30 ID:WDkxbf2S0
あれは、早く公式に実装してほしいもんだなと

489 名無しさん＠お腹いっぱい。[sage] 2008/08/05(火) 22:51:43 ID:u7wsus6a0
いるかぁ? Fx3でもIE7でも切ってるわ。
IE7のなんか遅くなる原因の筆頭みたいなもんだし。

490 名無しさん＠お腹いっぱい。[sage] 2008/08/05(火) 23:11:12 ID:WDkxbf2S0
今かいずれかってなもんだし、さっそくSAの約款みてきた
http://www.siteadvisor.com/termsofservice.html
和訳は機械訳か。…いやそんなことはいいか

…これ見ると、勝手に使うのはびもいのかなあ
デモ実装するには手っ取り早くていいんだが…。
SAの方は、URLの都度クエリするだけなので、実装は速いが、遅くなるのと、プライバシの問題がある

491 名無しさん＠お腹いっぱい。[sage] 2008/08/06(水) 00:16:28 ID:wF/nkM/m0
そういや、つい最近、日本でフィッシング詐欺事件があったよな。
1300万円だっけか、被害額。

けっこう日本も危険だな　こんな記事もあるし。
「ゆうちょ銀行」をかたるフィッシングサイトが登場、国内発生件数が増加
ttp://japan.cnet.com/marketing/story/0,3800080523,20374446,00.htm


FirefoxやOperaが二年近くも前からフィッシングフィルタを搭載してる
というのに、Safariだけは現時点でも搭載していないw　アップルはユーザーの
安全などに興味はないらしいwww

は？

アップルってだけで絶対信用できないしインストールするのなんて論外だな。

ダメ

しばらくここ使おう…。ここが一番(スレが)遊んでるぽい

日本語化キット 前回配布分(100件)を満了しましたので、更新しました
http://www1.axfc.net/uploader/He/so/228054 dlpass: bzip2
・表記を最新版のバージョンに合わせました
・細かい表記を1個所直しました (すでにご利用の方は、わざわざ更新するには及びません)
・memo.txt の同梱。

拡張キット(仮称) 不具合がありましたので、臨時アップデートを行いました
http://www1.axfc.net/uploader/He/so/228055 dlpass: bzip2
・スクリプトが最新版でなかった(配布ミス)のを修正。
・memo.txt の同梱。

しばらく、定期・臨時アップデートは、大体こちらに、ときどきソフ板本スレに告知を投下
しつもん、苦情とかあれば、雑談としてﾄﾞｿﾞｰ

leanmean.js を有効にされている方は、さしあたってWindowsのイベントビューアのログサイズを増やしておいてください
問い合わせダイアログが出るたびにエントリが増える環境があります

※直接のセキュリティ上の問題ではありませんが、他のログを押し流してしまう可能性があります

最近のないとりぃ/JSCと相性が悪いみたいだ > 拡張キット(仮) 調べてみないと

http://www1.axfc.net/uploader/He/so/229074 dlpass: bzip2
・最近のないとりぃと併用すると、新規タブ生成時にランダムな確率で落ちる問題を修正しました
・画面遷移/IFRAME における問い合わせに、自前のダイアログを使用するようにしてみました
・ポップアップが画面外に出てしまう問題を修正しました
・ボタンクリックで見られる、URLブロック状況表示に、ルールファイルの文法エラーを表示するようにしました
・同表示のURLをダミーのアンカにしてみました 右クリックで簡単に選択して、コピペできるようになります
・urlaction.txt のサンプルルールを増やしました
・オレオレ証明書が満了になりましたので、更新しました

既知の問題
・新規ウインドウが、自動拒否になって、うまく開かない
→ さしあたり、新規タブで開いてください
・上記問い合わせのダイアログが、真っ白になることがあります
→ さしあたり、[Alt]+[F4] で閉じてください。[拒否]扱いになります

新４で試した
・leanmean: あいかわらず。異常が増えることということはない
・ホイール感度調整: いまホイールマウスがどっかいってわからないが、落ちるということはない
・新規ウインドウ抑制: 問題無し
・ジェスチャ認識: 問題無し
・Win2000対応: Win2000で試せてないが、XPにおいて異常が増えることはない
・DBLargo: 問題無しみたいだが、本体側が改訂されてるみたいなので不要かも

ポップアップが、毎度上の方に出てくるのは、エンバグです 次回アップデートで修正します

今週は、本スレが十分流れているので、本スレに告知しました
http://pc12.2ch.net/test/read.cgi/software/1229839776/586-

今週も、本スレが十分流れているので、本スレに告知しました
http://pc12.2ch.net/test/read.cgi/software/1229839776/707-

今週も(ry http://pc12.2ch.net/test/read.cgi/software/1229839776/738-

ｧﾂｰ右端じゃなくて左端だたーよ

今週も(ry

Safari は Silverlight が動くのか。
これで、ユーザースクリプト、特に AutoPagerize が動けばいうこと無いんだけどな。

先週も今週も(ry
http://pc12.2ch.net/test/read.cgi/software/1229839776/841-

最近他の開発(ブラウザ関係以外)に参加してて、こっちは保守程度ｗ

たしかAutoPagerize は動いたようなｗ

ほす。本スレは残5%くらいか

　

ほむまど

ほむほむ

電波テロ装置の戦争(始)
魂は幾何学、コピー出来る公安はサリンオウム信者の子供を40歳まで社会から隔離している
オウム信者が地方で現在も潜伏している
それは新興宗教を配下とする公安(慶應卒T)の仕事だ発案で盗聴器を開発したら霊魂が寄って呼ぶ来た
<電波憑依>
スピリチャル全否定なら江原三輪氏、高橋佳子大川隆法氏は、幻聴で強制入院矛盾する日本宗教と精神科
<コードレス盗聴>
2004既に国民20%被害250〜700台数中国工作員3〜7000万円2005ソウルコピー2010ソウルイン医者アカギ絡む<盗聴証拠>
今年５月に日本の警視庁防課は被害者SDカード15分を保持した有る国民に出せ!!<創価幹部>
キタオカ1962年東北生は二十代で2人の女性をレイプ殺害して入信した創価本尊はこれだけで潰せる<<<韓国工作員鸛<<<創価公明党 <テロ装置>>東芝部品)>>ヤクザ<宗教<同和<<公安<<魂複<<官憲>日本終Googl検索

Safari for Windows終了か

Safari 3.2.3 最新でフリーズする場合でも これなら動作する
http://www.oldapps.com/apple_safari.php?old_safari=12

ところでSafari for Windowsはどうなった?

Operaに負けて更新なくなった

Chromeで十分だもんな

IPA、脆弱性の存在によりWindows版「Safari」の使用停止を勧告
http://www.forest.impress.co.jp/docs/news/20121023_567875.html

Mac版の使用停止も勧めたほうがだろ
脆弱性を放置されてる数がとんでもないレベル

!