CookieMonsterFix 1.0.1　-　フリーウェア
動作環境：　Mac OS X 10.3以降、および10.2.x
Download: CookieMonsterFix1.0.1.dmg (32KB)

Security Update 2003-12-05 をインストールすれば、この脆弱性は解決されます。そうすればCookieMonsterFixは不要です。
Mac OS X 10.3.2 アップデートにもこのSecurity Updateは含まれているので、それ以降のバージョンを使用しているならばCookieMonsterFixは不要です。

Changes :

1.0.1
　Mac OS X 10.2.x に対応
　　1.0ではバイナリーを分けていましたが、1.0.1では同一のバイナリーで10.3と10.2に対応しています。

Description :

これはInputManager形式のBundleです。~/Library/InputManagers/に入れるだけで使用できます。
/Users/あなたのアカウント/Library/InputManagers/
もしくは
/Library/InputManagers/
に「CookieMonsterFix」フォルダを入れます。「InputManagers」フォルダが存在しない場合は新規フォルダを作成してください。

SafariおよびWebKitを利用しているアプリケーションで、
http://alive.znep.com/~marcs/security/mozillacookie/
で説明されているCookie漏えいを防ぎます。
この問題は将来のアップデートで解決されるとは思いますが、現時点（Mac OS X 10.3.1 + Safari v100 および Mac OS X 10.2.8 + Safari v85.5）では発生します。
Security Update 2003-11-19でSafariがv100.1にアップデートされますが、この問題は解消されません。

・確認方法
InputManagerをインストールして上記サイトの漏えいテストを実行してください。
http://alive.znep.com/~marcs/security/mozillacookie/demo.html
漏えいの危険を検知したらコンソールのログに
CookieMonsterFix - [xxx.xxx.com] tried steal cookie of [.xxx.com]
などと書き出され、防ぎます。

Safariに限らずWebKitを使っているアプリケーションでCookie管理をWebKitに任せているものはすべて該当します（拙作 P_BLOG Agent で上記サイトのテストを実行したら漏えいが再現しました）。そのためCookieMonsterFixはSafariに限らずすべてのCocoaアプリケーションにロードされるようにしています。

NSHTTPCookieDiskStorage の -cookiesMatchingDomain: path: secure: にパッチを当てています。詳細は同梱のソースコードを参照してください。

Description in English:

If you apply "Security Update 2003-12-05", or use Mac OS X 10.3.2 or later, You need not this CookieMonsterFix

Download: CookieMonsterFix1.0.1.dmg
This is freeware. Tested on Mac OS X 10.3.1 and Mac OS X 10.2.8.

fix this bug
http://alive.znep.com/~marcs/security/mozillacookie/

How To Install
put "CookieMonsterFix" folder into
/Users/your account/Library/InputManagers/
or
/Library/InputManagers/
If "InputManagers" does not exist, create new folder.

Here is directory structure.
.../InputManagers/CookieMonsterFix/CookieMonsterFix.bundle
.../InputManagers/CookieMonsterFix/Info

And (re)launch Safari, then patch will apply.