デンマークのセキュリティベンダーSecuniaは21日(現地時間)、Mac OS X標準のWebブラウザ「Safari」に潜む脆弱性について勧告を行った。脆弱性の存在はSafari 2.0.3(417.8)/Mac OS X 10.4.5、PowerPC/Intel両プラットフォーム上で確認され、危険度評価は5段階中もっとも重い「Extremely critical」。

報告によれば、この脆弱性はZIPアーカイブ内に保存されたメタデータの処理時に発生する。Mac OS X独自のメタデータは、ZIPアーカイブ作成時にファイル本体と分離されたうえで不可視属性を持つ「__MACOSX」フォルダに保存されるが、そのメタデータが偽装したシェルスクリプトに差し替えられると、ZIPアーカイブが展開される際にそのまま実行されてしまうというもの。たとえば、ダウンロードした"安全な"ファイルを自動的に開くようSafariを設定していると、悪質なWebサイトにアクセスしただけで任意のシェルスクリプトを実行されてしまい、ホームディレクトリ上のファイルが全削除されるなどの被害を受ける可能性がある。

22日現在、開発元のAppleからパッチ等の提供は行われていないため、Safariの環境設定パネルにある「一般」タブで、「ダウンロード後、"安全な"ファイルを開く」チェックボックスを無効にすることが有効な対策となる。

利用中のSafariおよびMac OS Xのシステムに脆弱性があるかどうかは、SecuniaのWebサイト上で公開中の「Mac OS X Command Execution Vulnerability Test」で確認できるが、その結果ダウンロードされるZIPファイルをFinderの書庫機能(BOMArchiveHelper)で展開すると、一見するとQuickTimeムービーだが実体はシェルスクリプト、というファイルが生成される。ZIPファイルに含まれる偽装メタデータが実体ファイルに付加された結果であり、Safari単体の脆弱性というよりはFinderおよびBOMArchiveHelper、ひいてはMac OS XのGUIに潜む脆弱性、と判断することが適当だろう。

なお、BOMArchiveHelperを利用せずメタデータ非対応のアーカイバで前述のZIPファイルを展開すると、メタデータは実体ファイルに付加されず、"偽装QuickTimeムービー"は生成されない。BOMArchiveHelperで作成したZIPファイルのように、メタデータを実体ファイルに自動付加する仕組みが整った書庫ファイルでなければ発生しにくい問題だが、通常は安全とされる動画や静止画ファイルへの偽装が容易なだけに、事態の収拾が遅れれば被害者の発生も予想される。