Appleは4月下旬にiOS 14.5.1などのソフトウェアアップデートをリリースし、iOS上のSafariなどのウェブブラウザを支えるエンジンであるWebKitに重要なセキュリティ修正を加えました。しかし、セキュリティ研究者は、WebKitには最新バージョンのiOSとmacOSでも有効な脆弱性が依然として存在すると指摘しています。
セキュリティ企業Theori( ArsTechnica経由)が指摘しているように、この脆弱性はウェブページ上の音声出力を管理するAudioWorkletに関連しており、Safariのクラッシュを引き起こします。適切なコマンドを使用することで、攻撃者はこの脆弱性を悪用し、iPhone、iPad、Mac上で悪意のあるコードを実行できます。
しかし、研究者を本当に魅了しているのは、この脆弱性に対する修正がApple以外の開発者によって約3週間前にGitHubのWebKitリポジトリで公開されていたことです。それにもかかわらず、Appleは最新バージョンのOSにまだこの修正を組み込んでいません。「パッチが公開されてから数週間経ってもSafariがまだ脆弱だとは予想していませんでした」と、研究者の一人は述べています。
Theori 氏が指摘したように、公開パッチとそれが公式リリースに組み込まれるまでの期間は「可能な限り短く」あるべきだが、何らかの理由で Apple はまだこの問題を認めていない。
このエクスプロイトは楽しいチャレンジでした。パッチが公開されてから数週間経ってもSafariがまだ脆弱だとは思っていませんでしたが、こうしてこうなりました… https://t.co/jkEH7w498Q
— ティム・ベッカー(@tjbecker_)2021年5月26日
Appleは現在、iOS 14.7およびその他のソフトウェアアップデートに取り組んでおり、これらは現在開発者向けのベータリリースとして利用可能となっている。そのため、同社は最終的にこれらのアップデートでWebKitエクスプロイトの修正を盛り込むことになるかもしれない。
脆弱性の詳細については、Theori の Web サイトで確認できます。
lasfore.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
