7月下旬にAppleのSafariブラウザがテキスト自動入力機能に関する深刻なセキュリティバグに見舞われたことを覚えている方もいるかもしれません。AppleはSafari 5.0.1アップデートでこのバグを修正しましたが、この自動入力の脆弱性を最初に発見した研究者によると、このバグは再び発生しているとのこと。
WhiteHat Security の創設者 Jeremiah Grossman 氏によると、この欠陥は、悪意のある Web サイトが、ユーザーが知らないうちに、たとえそのサイトを一度も訪問したことがないとしても、名前、住所、勤務先、電子メール アドレスなどの個人情報を収集することを可能にした元の自動入力の欠陥の若干のバリエーションです。
グロスマン氏によると、このハッキングの新たなバージョンは最初のものほど「自動的」ではないが、ハッカーはちょっとしたソーシャルエンジニアリングを実行するだけで、不運なウェブユーザーから個人情報を引き出すことができるという。
以前と同様に、Grossman氏はSafariをお使いの場合は、このバグの影響を受けないようにフォームの自動入力を無効にすることを推奨しています。無効にするには、Safariのツールバーにある「歯車」メニューから「環境設定」を選択します(Mac OS Xの場合はSafariメニュー)。ツールバーの「自動入力」をクリックし、3つのチェックボックスをすべてオフにしてください。
これは、オンラインでは誰も、あるいは何も信用できないということを改めて思い起こさせる事例です。技術的な詳細について詳しく知りたい方は、このトピックに関するグロスマン氏のブログ記事をご覧ください。
[MacRumors経由]
