IPAセキュリティセンターとJPCERT/CCは3月30日、Appleが提供するWebブラウザ「Safari」に脆弱性(CVE-2018-4133)があるという情報を公表した。

Safariに存在するのは、サーバ証明書エラーの表示処理にスクリプトインジェクションの脆弱性。

サーバ証明書の検証でエラーとなった際にSafariが表示するエラーページには、サイトにアクセスした際に使われたドメイン名がそのまま出力される。そのため、細工されたドメイン名のサイトに誘導された結果として表示されるエラーページを通じて、Webブラウザ上で任意のスクリプトが実行されるおそれがあるという。

Appleからは、この脆弱性に対処した最新版「Safari 11.1」がリリースされている。同製品を利用している場合は、同社が提供する情報をもとにファームウェアをアップデートすることが推奨される。

  • About the security content of Safari 11.1