Safari 17.5のWebKit脆弱性を修正、任意のコード実行の可能性あり

text: XEXEQ編集部

Safari 17.5の脆弱性に関する記事の要約

Safari 17.5でPointer Authenticationをバイパス可能な脆弱性を修正
任意の読み取りと書き込み権限を持つ攻撃者による悪用の可能性あり
改善されたチェックにより問題に対処
脆弱性はCVE-2024-27834として識別、Trend Micro's Zero Day Initiativeと連携して発見

macOS MontereyとmacOS Venturaで利用可能なSafari 17.5リリース

Appleは2024年5月13日、macOS MontereyとmacOS Ventura向けにSafari 17.5をリリースした。このアップデートではWebKitの脆弱性が修正されている。^[1]

修正された脆弱性は、任意の読み取りと書き込み権限を持つ攻撃者がPointer Authenticationをバイパスできるというもの。Appleによると、改善されたチェックにより問題に対処したとのことだ。

この脆弱性は「CVE-2024-27834」として識別されており、Manfred Paul氏がTrend Micro's Zero Day Initiativeと協力して発見した。Appleはお客様の保護のために脆弱性の詳細を公開せず、調査が行われパッチがリリースされるまで問題を確認しないとしている。

考察

今回のSafariの脆弱性修正は、ブラウザのセキュリティ向上において重要な一歩と言えるだろう。しかし、攻撃者が任意のコードを実行できる可能性があったことを考えると、依然としてゼロデイ脆弱性の脅威は深刻だ。ブラウザはWebアプリケーションの主要なインターフェースであり、サイバー攻撃の主要なターゲットになっている。今後もブラウザベンダーには継続的なセキュリティ強化とタイムリーなパッチ提供が求められるだろう。

また、ユーザー企業においてはブラウザの自動アップデートを有効にし、最新のセキュリティパッチを速やかに適用することが重要だ。加えて、ブラウザの設定やアドオンの見直し、Webフィルタリングの導入など多層防御の視点からの対策が欠かせない。単一の対策だけでは防ぎきれないゼロデイ攻撃に備え、検知と対応の仕組みを整えておくことも重要になるはずだ。Webブラウザのセキュリティリスクは今後ますます高まると予想されるため、企業はサイバーレジリエンスの強化に注力すべきだろう。