本日のmacOS Sierra 10.12.5マイナーアップデートの一部としてリリースされたSafari 10.1.1では、アドレスバーのなりすましに関する新たな事例が修正されています。これは朗報です。Safariは、悪意のあるウェブページではなく、本物のウェブサイトにアクセスしていると思い込ませようとするフィッシング攻撃からユーザーを保護できるようになりました。
同社のセキュリティ文書によると、このソフトウェアは、悪意のあるウェブサイトにアクセスするとアドレスバーが偽装される可能性があるという脆弱性を修正しています。「状態管理の改善により、ユーザーインターフェースの一貫性が失われる問題が解決されました」とAppleは述べています。
フィッシングに対して非常に注意している人でも、アドレスバーのなりすましの被害に遭う可能性があります。
今日のフィッシング攻撃の巧妙さは、中国のセキュリティ研究者 Xudong Zheng 氏が、アドレスバーに正しい URL が表示されているように見える偽の Web サイトにユーザーを騙して簡単に訪問させることができることを実証したことで明らかになった。
今後このような攻撃から身を守るには、アクセスしたいウェブサイトのURLを手動で入力するか、Safariのブックマークメニューからお気に入りのウェブサイトを選択してください。もちろん、たとえ個人的に知っている相手から送信されたように見えても、メール内の疑わしいリンクはクリックしないでください。
修正された脆弱性は、iOS ではなく macOS の Safari で発見されました。
Appleは、脆弱性CVE-2017-2500の発見についてはTencentセキュリティプラットフォーム部門のZhiyang Zeng氏とYuyang Zhou氏、脆弱性CVE-2017-2511の発見についてはTencentセキュリティプラットフォーム部門のZhiyang Zeng氏であるとしている。
さらに、Safari 10.1.1では、悪意のあるウェブページにアクセスした後にアプリケーションによるサービス拒否攻撃を引き起こす可能性のあるSafariの履歴メニューの問題を修正しました。この問題は、メモリ処理の改善によって解決されました。
最後に、Safari 10.1.1 には、WebKit レンダリング エンジンで発見された 7 件の脆弱性 (そのうち 5 件はユニバーサル クロス サイト スクリプティングに関連するもの) に対するパッチも含まれており、アプリが署名されていないコードを実行できる WebKit の Web インスペクタの問題も修正されています。
Safari 10.1.1は、OS X Yosemite 10.10.5、OS X El Capitan 10.11.6、macOS Sierra 10.12.5でご利用いただけます。Appleは本日、MacおよびWindows向けのiTunesのマイナーアップデートもリリースしました。
iTunes 12.6.1 には、不特定のアプリおよびパフォーマンスの改善と、悪意を持って作成された Web コンテンツを処理した後に任意のコードが実行される可能性がある Windows 7 以降の WebKit エクスプロイトの修正が含まれています。
