マイク・ピーターソン
· 1分で読めます
クレジット: WebKit
Apple は、数週間前から修正プログラムが提供されているにもかかわらず、iOS と macOS に存在する WebKit の脆弱性をまだ修正していない。
この脆弱性は、サイバーセキュリティスタートアップ企業Theoriのセキュリティ研究者によって初めて発見され、WebKitのAudioWorklet実装に存在します。このバグはSafariのクラッシュを引き起こす可能性がありますが、Theoriによると、これは混乱を招くタイプの脆弱性としても悪用可能です。
この脆弱性は、開発者がオーディオを制御、レンダリング、出力できるようにするインターフェースであるAudioWorkletに起因しています。しかし、この脆弱性を悪用されると、攻撃者がデバイス上で悪意のあるコードを実行するための基盤を手に入れる可能性があります。
一方、現実世界で実際に攻撃を実行するには、悪意のある人物がポインタ認証コード(PAC)を回避する必要があります。PACは、メモリ内でコードを実行する前に暗号署名を必要とする緩和システムです。
さらに、この脆弱性は5月初旬にオープンソース開発者によって修正されました。修正プログラムが公開されたにもかかわらず、この脆弱性はiOSとmacOSの最新バージョンにも依然として存在すると、Theoriの研究者ティム・ベッカー氏は述べています。
「理想的には、公開パッチと安定版リリースの間の期間は可能な限り短い。今回のケースでは、iOSの最新版はパッチ公開から数週間経っても脆弱性が残っている」とベッカー氏は記している。
ベッカー氏によると、修正がないことは「パッチギャップ」の一例であり、オープンソース開発における重大な危険だと同氏は言う。
GoogleのProject Zeroによると、2021年初頭からAppleのシステムには合計7つの脆弱性があり、実際に悪用されているという。現在修正されているこれらの欠陥の多くはWebKitに存在していた。
6 月 7 日から 6 月 11 日まで 1 週間にわたるイベント全体を網羅した AppleInsider の包括的な報道で、WWDC 2021 のすべての詳細 (すべての新製品発表とアップデートの詳細を含む) をフォローしてください。
HomePodでAppleの最新ニュースをいつでもチェック。「Hey Siri、AppleInsiderを再生して」と話しかけると、最新のAppleInsider Podcastが聴けます。または、HomePod miniに「AppleInsider Daily」と話しかけると、ニュースチームからの速報がすぐに聞こえてきます。Apple関連のホームオートメーションに興味があるなら、「Hey Siri、HomeKit Insiderを再生して」と話しかければ、最新の専門ポッドキャストがすぐに聴けます。
