君のことを忘れたことはない

11月14日11時1分配信 japan.internet.com

Apple が11日に公開した Web ブラウザのセキュリティ更新版『Safari 4.0.4』に関する話題のなかで、Apple と Google のいずれも、自社ブラウザの主要な描画エンジンに『WebKit』を用いていることをお伝えした。そのため『Google Chrome』についても、Apple が修正した WebKit の脆弱性が残っているのではないかという懸念があった。

実際、懸念していた通りだった。

Google は12日、『Google Chrome 3.0.195.33』(安定版) を公開した。Apple が Safari 4.0.4 で修正したクロスサイト リクエスト フォージェリ (CSRF) 攻撃に関する問題に対応したものだ。実のところ Google は、WebKit に関する該当の問題について詳細な勧告を独自に公開しておらず、Apple のサポートページにリンクを張っているだけだ。

今回の更新タイミングが示すのは、Chrome ユーザーが Safari ユーザーよりも長い期間、危険に晒されていた可能性があるということだろうか。確かにその通りだが、時間的な差はごくわずかで、しかも Google によれば、該当の脆弱性の危険性は大変低いという。

それでも13日にお伝えしたように、Apple と Google の間で WebKit の脆弱性を共有していることが分かったことは、個人的に大変興味深い。両社は積極的に WebKit の開発に貢献する一方で、WebKit のリスクも共有している。

Google Chrome 3.0.195.33 は、現時点で『Windows』用だけの安定版チャンネルのリリースだ。Google は、『Mac OS X』と『Linux』向けに Chrome の安定版を公開していないが、近いうちに公開する可能性が高いとみられている。

11月13日10時31分配信 japan.internet.com

Apple は11日、Web ブラウザ『Safari 4』のセキュリティ更新版『Safari 4.0.4』を公開した。『Mac OS X』版と『Windows』版の両方を更新しており、識別番号で数えて7件の脆弱性に対応したものだ。

その中で、Safari の中核描画エンジン『WebKit』に関するものは3件あり、深刻度の高い問題だと思われる。特に興味深いのは、Google と Apple がこれらの脆弱性のうち、あるものと別のあるものについて、それぞれどのように認識したかという点だ。両社とも、自社ブラウザの主要な描画インフラとして WebKit を採用している。

問題のうちの1件は、クロスサイト リクエスト フォージェリ (CSRF) 攻撃の恐れがある脆弱性で、WebKit において、ある場所のページから別の場所にあるリソースにアクセスする方法に問題がある。

Apple の勧告では、次のように説明している。「WebKit は (別の場所にある) リソースにアクセスするため、後者のサーバーにプリフライト リクエストを送信する。WebKit ではプリフライト リクエストにおいて、(リソースを) 要求するページが指定したカスタム HTTP ヘッダーを含んでおり、これによって CSRF 攻撃が容易になりかねない」

これはかなり深刻な問題で、私見では実行するのもそれほど難しいことではない。WebKit に関する脆弱性という事実が、この問題をさらに厄介なものにしている。『iPhone』や『Google Chrome』にも影響を及ぼす可能性があるからだ。Apple の勧告によれば、同社自身が該当の脆弱性を発見したという。

なお Google は5日、数多くのセキュリティ問題に対応した Chrome の更新版を公開済みだ。

Safari 4.0.4 における他の WebKit の脆弱性に、FTP ディレクトリ表示処理の問題がある。Apple は勧告のなかで、脆弱性を報告した人物として Google の Michal Zalewski 氏の名前を挙げている。Apple によれば、悪意をもって細工した FTP サーバーにアクセスすることで、任意コード実行などにつながる恐れがあるという。

そして WebKit における重大な脆弱性の残り1件は、HTML 5 の音声や動画コンテンツの読み込みに関する問題だ。この脆弱性により、ユーザーが読み込み機能を無効化していても、遠隔コンテンツを読み込んでしまう恐れがある。

11月10日8時28分配信 ITmedia エンタープライズ

　企業向けのセキュリティサービスを手掛ける米Cenzicが11月9日に発表したWebアプリケーションのセキュリティ動向報告書によると、2009年上半期はWebアプリケーション関連の脆弱性が増加し、ブラウザではMozilla Firefoxの脆弱性が最も多かった。

　報告書によると、2009年上半期に報告された脆弱性のうち、Webサーバ、アプリケーション、ブラウザ、プラグイン、ActiveXなどWeb技術に関するものは全体の78％を占め、前年より大幅に増加。深刻な脆弱性が多かったメーカー・製品はSun Microsystems（Java）、IBM、PHP、Apacheなどが上位を占めた。

　脆弱性が最も多かったブラウザはMozilla Firefoxが筆頭で全体の44％を占め、次いでApple Safariの35％。いずれも前期の報告書では筆頭だったInternet Explorer（IE）を大きく上回った。

　商用Webアプリケーションに対する攻撃の手口としては、SQLインジェクション（25％）、クロスサイトスクリプティング（XSS、17％）などが上位を占めた。

　Webアプリケーションの脆弱性を狙った攻撃は着実に増えており、企業はITシステムの被害やなりすまし被害によって多額の損害を被っているとCenzicは伝えている。

11月4日10時10分配信 ITmedia エンタープライズ

米Googleは11月2日、Beta Channelで提供しているWebブラウザ「Google Chrome」のβ版をアップデートしたと発表した。

　新バージョンは「4.0.223.16」で、4.0 βの初のリリースになる。多数のバグを解消したほか、新たに「Bookmark Sync」機能を追加した。対応するのはWindows VistaおよびXP SP2以上で、ダウンロードサイトから入手できる。

　新バージョンで加わったBookmark Syncは、複数のPCにインストールしたChromeのブックマークを同期させる機能。設定ボタンのメニューから「Synchronize my bookmarks」を選択し、表示されるウィンドウでGoogleアカウントでログインすると、複数のPCで同じアカウントでログインしておけば、それらのPC同士でブックマークを統合・同期するようになる。メッセージをリアルタイムに交換するためのオープンソースプロトコル「XMPP」により、いずれかのPCでブックマークを更新すると、即座にほかのPCに反映されるという。MozillaのWebブラウザFirefoxの同期サービス「Weave」にも同等の機能がある。

　また、パフォーマンスや速度も改善されており、MozillaのDromeaoによるベンチマークでは、現行の安定版Chromeより30％、最初の安定版と比べると400％、性能が向上しているとしている。

8月11日17時16分配信 ITmedia News

　Internet Explorer（IE）6に反対する声が高まる中、Microsoftが同ブラウザのサポートをやめないとコメントした。

　ソーシャルニュースサイトDiggがIE6サポートを終了したい意向を示し、Web企業がIE6撲滅運動を展開するなど、このところIE6に対する逆風が強まっている。リリースから8年もたつ同ブラウザへの対応が、Web企業にとって負担になっているからだ。

　MicrosoftのIEチームはネットでこの話題が盛り上がっていることを受けて、「ブラウザサプライヤーとしては、セキュリティ、パフォーマンス、互換性などの理由から、最新のIEに乗り替えてもらいたい」とコメント。ただし、企業ユーザーの場合は、社内アプリケーションとの互換性の問題などから、乗り替えが容易でない場合があると指摘している。

　OSサプライヤーとして、Microsoftに「IE6のサポートをやめるという選択肢はない」とIEチームは明言している。「Windowsのライフサイクルが終わるまで、同梱されたIEもサポートすると約束しているからだ。われわれは約束を守る。多くの人は、システムの特定の部分がどんなペースでアップグレードされようと、OSに最初にインストールされていたものが動き続けると思っている」

　「エンジニアとしては、最新版にアップグレードしてもらいたい」としつつも、「アップグレードするかどうかは、PCを管理している人が決めること」だと述べている。