セキュリティ

AppleがSafariに用いるレンダリングエンジン「WebKit」の修正を3週間放置

by JeanbaptisteM

AppleがSafariに用いられているオープンソースのレンダリングエンジン「WebKit」の修正を3週間にわたって無視し、既知の脆弱性を放置し続けていることが判明しました。

Patch Gapping a Safari Type Confusion | Theori
https://blog.theori.io/research/webkit-type-confusion/

No, it doesn’t just crash Safari. Apple has yet to fix exploitable flaw | Ars Technica
https://arstechnica.com/gadgets/2021/05/exploitable-security-bug-remains-in-ios-and-macos-3-weeks-after-upstream-fix/

What happens when a security hole is fixed in WebKit's source but not released as a patch by Apple? Let's find out • The Register
https://www.theregister.com/2021/05/27/safari_webkit_bug/

問題の脆弱性は、Safariのレンダリングエンジン「WebKit」に関するもの。2021年4月26日にリリースされたSafari 14.1には直接サウンドデータにアクセスして音響演算を行うモジュラーシステム「AudioWorklet」が新たに追加されましたが、このAudioWorkletがWebKitをクラッシュさせるというバグが存在しました。WebKitの開発チームはこの問題に対応し、5月8日に新たな修正をリリースしました。

AudioWorkletProcessor which does not extend base class crashes Safari · WebKit/[email protected] · GitHub
https://github.com/WebKit/WebKit/commit/d56afe6836db40cdea22eaa6b47c56a6197a8bab


しかし、Appleはこの修正を3週間にわたって無視し続けています。韓国のセキュリティ企業Theoriの報告によると、問題の脆弱性は単体ではSafariをクラッシュさせる以外の問題を引き起こさないものの、他の脆弱性と併用することで任意コードの実行などを可能にする「Confusion bug」を実現しうるとのこと。ただし、実際に任意コードを実行するためにはポインタ認証コードをバイパスする必要があるため、実現可能性は低いとTheoriは明記しています。

Theoriは上流側で配布された脆弱性修正がエンドユーザーに届くまでの空白期間「パッチギャップ」がオープンソース開発にとって重大な危険を生みうると指摘し、「修正パッチの公開とリリースのギャップはできるだけ短くすべき」と主張。Appleに対し、問題の脆弱性を修正するように求めています。


なお、Appleは2021年5月4日にWebKitの脆弱性修正を行っていますが、今回の脆弱性は対象となっていないとのことです。

Safari 14.1 のセキュリティコンテンツについて - Apple サポート
https://support.apple.com/ja-jp/HT212340

この記事のタイトルとURLをコピーする

・関連記事
アダルトコンテンツの制限を有効化すると「Asian」という検索が全部弾かれるSafariの不具合が修正される - GIGAZINE

Safari 14では裏技を使って規制をくぐり抜けていたサードパーティーCookieが対策される - GIGAZINE

Appleが新しくSafariに追加した「Face IDやTouch IDによるウェブサイト認証機能」はこんな感じで動作する - GIGAZINE

Appleが「プライバシー上の懸念あり」としてSafariへの一部ウェブAPIの実装を拒否 - GIGAZINE

in セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.