Safari 5.0.1 および 4.1.1 で自動入力のセキュリティ欠陥に対処

本日のリリースに付随する セキュリティ文書 に記載されているように、 Safari 5.0.1 および 4.1.1 は、悪意のあるサイトがユーザーの名前、所属会社、都市/州/などのアドレス帳情報を取得できる可能性がある、先週明らかになった AutoFill のセキュリティ上の欠陥に 対処しています。国と電子メールアドレス。

影響：Safari の自動入力機能により、ユーザーの介入なしに Web サイトに情報が開示される可能性がある。

説明: Safari のオートフィル機能は、Mac OS X アドレス帳、Outlook、または Windows アドレス帳の指定された情報を使用して Web フォームに自動的に入力できます。設計上、Web フォーム内でオートフィルを動作させるにはユーザーのアクションが必要です。実装上の問題があり、悪意を持って作成された Web サイトがユーザーの操作なしでオートフィルをトリガーできるようになります。これにより、ユーザーのアドレス帳カードに含まれる情報が漏洩する可能性があります。問題が発生するには、次の 2 つの状況が必要です。まず、Safari の環境設定の [自動入力] で、[アドレス帳カードの情報を使用して Web フォームを自動入力する] チェックボックスをオンにする必要があります。次に、ユーザーのアドレス帳には「My Card」として指定されたカードが必要です。オートフィルを介してアクセスできるのは、その特定のカード内の情報のみです。この問題は、ユーザーの操作なしにオートフィルが情報を使用することを禁止することで解決されています。 iOS を実行しているデバイスは影響を受けません。この問題の報告は、WhiteHat Security の Jeremiah Grossman 氏の功績です。

グロスマン氏は6月17日にこの問題をAppleに報告したが、Appleから重大な返答を得られなかったため、顧客に警告するために先週公表した。グロスマン氏の情報公開後、Appleはこの問題を認め、修正に取り組んでいることを約束した。