『再掲:SafariにCookieが漏洩する脆弱性』と同様の脆弱性を持つであろう、WebKitを使用しているアプリケーションに関しての一時的まとめ
追記:2003.12.08 11:00
以下の脆弱性は、Security Update 2003-12-05 を適用することで修正されます。よって以下の情報は既に古いものと考えて下さい。
なお、詳細に関しては当日記の『Security Update 2003-12-05』をご覧下さい。
昨日の『再掲:SafariにCookieが漏洩する脆弱性』の中で、ヘチマコンピュータさんのCookieMonsterFixのページに書かれているSafari以外のWebKitを使用したアプリケーションにも同様の脆弱性がある旨のヘチマコンピュータさんの文章を引用しましたが、他にもWebKitを使用したアプリケーションへ言及しているもの知り得た範囲でまとめてみます。
- Hetima:CookieMonsterFix
まずは、何度も言及しているヘチマコンピュータさんのCookieMonsterFixのページ。
Safariに限らずWebKitを使っているアプリケーションでCookie管理をWebKitに任せているものはすべて該当します(拙作 P_BLOG Agent で上記サイトのテストを実行したら漏えいが再現しました)。そのためCookieMonsterFixはSafariに限らずすべてのCocoaアプリケーションにロードされるようにしています。
再度の引用ですが、上記の通りとの事なので、CookieMonsterFixを入れておけば全てのWebKitを使用したアプリケーションに対応可能なのだと思います。
(「なのだと思います」と言うのは、単に自分で検証してないから言い切らないだけです)
- site-aro さん
2003.11.15『Web Kitのクッキー漏洩』にて言及されてますね。先にリリースされた「WebCollect 0.1」に同様の脆弱性があるとおっしゃってます。 - HAPPY Macintosh Developing TIME! さん。
ヘチマコンピュータさんのCookieMonsterFixに言及して、NSHTTPCookieDiskStorage にパッチを当ててるわけで、WebKit の問題ですね。
と述べてらっしゃいますね。 - SafariにCookie漏洩の脆弱性(/.J Mac)への yourCatさんのコメント
URL中のNull (%00) 取り扱いのミスですね。
と仰ってます。KHTMLは...同様なんでしょうかね...。 - Safari Part16(新・mac@2ch掲示板)の >>979
OmniWeb にはこの脆弱性は無いという(OmniWeb-Users MLへの投稿を紹介している)投稿。dat落ちするとアレなので、そのOmniWeb Usersへの投稿は> OmniWeb not vulnerable to cookie monster
追記:2003.11.21 00:40
- a51 さん
ご自身の NagaraBrowser について言及なさってますね。NagaraBrowserにおいても同様の問題が発生します。ご注意ください。