これはなんのCVE番号でしょう。
4つともWebKitの脆弱性に関するものです。
4つとも、MITREのCVE情報では2022年3月17日時点でもまだ「RESERVED」です。
そしてこれらはいずれも悪意を持って作成されたWebコンテンツを処理すると、コードが実行される可能性がある問題です。
クリックするなどの人手を介することなく単に悪意で作成されたWebコンテンツを表示するだけで任意のコードを実行できてしまうということです。
これにローカルでの特権昇格の問題を組み合わせると何でもできてしまいます。
WebKitはオープンソースのHTMLレンダリングエンジンです。
かつて一世を風靡しました。
非常に多くのWebコンテンツを表示するソフトウェアで利用されました。
駆け出しのころのChromeもWebKitを使用していました。
Chromeをはじめとするいくつかの実装ではいまはレンダリングエンジンは別のものに切り替わっていますが、まだWebKitを使用しているものも少なくありません。
これらは丸ごと今回の問題の影響範囲にあるといえます。
まさしくソフトウェアサプライチェーン問題です。
Log4jのときにも大きく問題となりました。
有用で多くの場所で活用されているソフトウェアというものはたくさんあります。
しかしソフトウェアにはバグがつきものです。
バグのないソフトウェアを目指して誰しも活動するわけですが、ゼロが維持できるものではありません。
では私たちのできることは何でしょう。
日々定期的な運用としてパッチ適用を継続していくことだと思います。
参考記事(外部リンク):About the security content of macOS Monterey 12.3
support.apple.com/ja-jp/HT213183
参考記事(外部リンク):Apple patches 87 security holes – from iPhones and Macs to
Windows
nakedsecurity.sophos.com/2022/03/15/apple-patches-87-security-holes-from-iphones-and-macs-to-windows/
この記事をシェア |
---|