CVE-2022-22610とCVE-2022-22624とCVE-2022-22628とCVE-2022-22629

ほぼこもセキュリティニュース By Terilogy Worx

これはなんのCVE番号でしょう。
4つともWebKitの脆弱性に関するものです。

4つとも、MITREのCVE情報では2022年3月17日時点でもまだ「RESERVED」です。
そしてこれらはいずれも悪意を持って作成されたWebコンテンツを処理すると、コードが実行される可能性がある問題です。
クリックするなどの人手を介することなく単に悪意で作成されたWebコンテンツを表示するだけで任意のコードを実行できてしまうということです。
これにローカルでの特権昇格の問題を組み合わせると何でもできてしまいます。

WebKitはオープンソースのHTMLレンダリングエンジンです。
かつて一世を風靡しました。
非常に多くのWebコンテンツを表示するソフトウェアで利用されました。
駆け出しのころのChromeもWebKitを使用していました。
Chromeをはじめとするいくつかの実装ではいまはレンダリングエンジンは別のものに切り替わっていますが、まだWebKitを使用しているものも少なくありません。
これらは丸ごと今回の問題の影響範囲にあるといえます。

まさしくソフトウェアサプライチェーン問題です。
Log4jのときにも大きく問題となりました。
有用で多くの場所で活用されているソフトウェアというものはたくさんあります。
しかしソフトウェアにはバグがつきものです。
バグのないソフトウェアを目指して誰しも活動するわけですが、ゼロが維持できるものではありません。

では私たちのできることは何でしょう。
日々定期的な運用としてパッチ適用を継続していくことだと思います。

参考記事(外部リンク):About the security content of macOS Monterey 12.3
support.apple.com/ja-jp/HT213183

参考記事(外部リンク):Apple patches 87 security holes – from iPhones and Macs to
Windows

nakedsecurity.sophos.com/2022/03/15/apple-patches-87-security-holes-from-iphones-and-macs-to-windows/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。