Safari の WebKit レンダリング エンジンには、ブラウザをクラッシュさせ、悪意のあるコードの実行を可能にする可能性のある欠陥があり、修正プログラムが数週間前から提供されているにもかかわらず、Apple はまだパッチを当てていません。
ストーリーのハイライト:
- WebKit の欠陥に対する修正プログラムは数週間前から利用可能になっています。
- 修正プログラムが存在するにもかかわらず、Apple はこの脆弱性を修正していない。
- この欠陥はiOS、iPadOS、macOSに依然として存在しています。
Apple、WebKitの脆弱性とパッチギャップ
ArsTechnicaの新たなレポートによると、SafariのWebKitエンジンにはiOS、iPadOS、macOSで悪用可能な脆弱性があり、iPhone、iPad、iPod touch、Macで悪意のあるコードが実行される可能性があるとのことです。興味深いことに、このWebKitの脆弱性に対する修正は3週間前から公開されています。
しかし、Apple はまだそれを実装していません。
Appleの最近のOSアップデートには、WebKitで発見された複数の脆弱性に対する修正が含まれていますが、この特定の脆弱性は、さらなる悪意のある攻撃への道を開く可能性があるにもかかわらず、修正されていません。同社は現在、登録開発者とパブリックベータテスターと共にiOS 14.7のテストを行っていますが、アップデートにこの脆弱性に対するパッチが含まれているかどうかは不明です。
AudioWorklet のバグにより、デバイス上で悪意のあるコードが実行される可能性があるようです。AudioWorklet は、Web ページからのオーディオのレンダリングを担う WebKit の機能です。
AudioWorkletのバグに対する修正は数週間前にサードパーティの開発者によって開発されましたが、Appleがなぜまだ実装していないのかは不明です。もちろん、Appleは今後のOSアップデートに必要な修正を簡単に組み込むことができます。
WebKit は Apple が作成したレイアウト エンジンで、Safari やその他の Web ブラウザーで使用されています。
「パッチが公開されてから数週間経ってもSafariがまだ脆弱だとは予想していなかった」とサイバーセキュリティのスタートアップ企業Theoriの脆弱性研究者ティム・ベッカー氏はツイッターでコメントした。
このエクスプロイトは楽しいチャレンジでした。パッチが公開されてから数週間経ってもSafariがまだ脆弱だとは思っていませんでしたが、こうしてこうなりました… https://t.co/jkEH7w498Q
— ティム・ベッカー(@tjbecker_)2021年5月26日
ベッカー氏は、Theori ブログに掲載された投稿の中で、まだパッチが適用されていない WebKit の脆弱性の存在は、「オープンソース開発においてパッチの適用漏れが重大な危険である」ことを改めて証明していると述べています。
パッチギャップとは、セキュリティ上の欠陥に対する公開パッチと、そのパッチをメインソフトウェアに統合した安定版リリースとの間の期間を指します。この期間は、悪意のあるユーザーが実環境のデバイス上で脆弱性を悪用するのを防ぐため、可能な限り短くする必要があります。
「理想的には、公開パッチと安定版リリースの間の期間は可能な限り短いべきです」とベッカー氏は述べている。「今回のケースでは、iOSの最新リリース版は、パッチが公開されてから数週間経っても脆弱性が残っています。」
