« 意外と速い iDisk | Main | Yes, Wii can! »
「Brian Mastenbrook: Disclosure of information vulnerability in Safari」によると RSS を Safari で購読するのは当面止めた方がよいそうです。
最初にこの警告を目にしたのは「The Mac Security Blog » Post Topic » Critical Safari RSS Vulnerability; And How to Fix It」です。あと「Vulnerability in Apple's Safari - News - heise Security UK」でも目にしました。
どういう攻撃なのかはよく読んでないのでわかりませんが、よく読んでも書いてなさそうですが、Safari の環境設定でデフォルトの RSS リーダを Safari 以外に設定しておくと回避できるそうです。Apple が修正版を出すまでそうしておくのがよさげです。
「Brian Mastenbrook: Disclosure of information vulnerability in Safari」では対象となるのは Mac OS X 10.5 Leopard の Safari のような感じがするように書かれていますが、上に挙げた二次情報の記事では Leopard とは書かれていません。他のバージョンの Mac OS X の場合も念のため RSS リーダの設定を変えておいた方が無難でしょう。
具体的な方法は「The Mac Security Blog » Post Topic » Critical Safari RSS Vulnerability; And How to Fix It」に絵入りで書かれています。特に RSS リーダを持っていない人は Mail.app でもよいそうです。
「Apple Safari RSS Feed Information Disclosure Vulnerability」によると Windows 版も含めた Safari 3 から Safari 3.1.2 に脆弱性があると記述されており、脆弱性がないものは何も書かれていません。私がこの記事を書いたときは Safari のバージョンに関する情報が書かれた記事を目にしていませんでした。脆弱性情報として一歩前進ですね。
ですが最新版の Safari 3.2.1 は脆弱性があるともないとも記述されていません。SecurityFocus の脆弱性情報ではこういうことがよくあってしばしば困ってしまいます。それが確実な情報のみを記載しているからなのか、当該のソフトウェアのリリース状況をよくわかっていないからなのかは不明です。
ともあれ Windows 版も列挙されているので Windows 版の Safari でも同様の脆弱性があるものと思った方がよいでしょう。ただ Windows 版の Safari ではその設定パネルでデフォルトの RSS リーダを設定できるわけではありません。Windows では Safari はただのアプリケーションだからです。Windows では Safari を RSS リーダとして当面は使用しないということになりそうです。