セキュリティ

SECURITY

公開：2024-09-19

Appleが公開したSafari 18セキュリティアップデートでWebKitの複数の脆弱性に対処、アドレスバーのスプーフィングなどを修正

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Safari 18のセキュリティアップデートを公開
• WebKitの複数の脆弱性に対処
• macOS VenturaとmacOS Sonomaが対象

Safari 18のセキュリティアップデートで複数の脆弱性に対処

Appleは2024年9月16日にSafari 18のセキュリティアップデートを公開した。このアップデートはmacOS VenturaとmacOS Sonomaを対象としており、WebKitに関連する複数の脆弱性に対処している。今回のリリースでは、ユーザーインターフェースの改善やセキュリティオリジンの追跡強化など、重要な修正が含まれている。^[1]

具体的には、悪意のあるウェブサイトによるアドレスバーのスプーフィングやクロスオリジンデータの流出、ユニバーサルクロスサイトスクリプティングなどの脆弱性が修正された。これらの脆弱性はCVE-2024-40866、CVE-2024-44187、CVE-2024-40857として識別されており、それぞれHafiizh、YoKo Kho、Narendra Bhati、Ron Masasらの研究者によって報告されたものだ。

Appleはセキュリティ上の理由から、調査が完了しパッチやリリースが利用可能になるまで、セキュリティ問題の開示や議論を行わない方針を取っている。ユーザーの保護を最優先に考え、脆弱性の詳細情報を慎重に扱うことで、悪用のリスクを最小限に抑える取り組みを行っているのだ。

Safari 18のセキュリティアップデート概要

クロスオリジンリソースシェアリング（CORS）について

クロスオリジンリソースシェアリング（CORS）とは、Webブラウザにおいて異なるオリジン間でリソースを共有するためのセキュリティメカニズムであり、主な特徴として以下のような点が挙げられる。

• 同一生成元ポリシーの制限を緩和し、安全な通信を実現
• サーバー側でアクセス制御を設定可能
• プリフライトリクエストによる事前チェック機能

Safari 18のセキュリティアップデートでは、iframeに関連するクロスオリジン問題が修正された。これはCORSの重要性を示す一例であり、Webアプリケーションのセキュリティを確保する上で不可欠な技術となっている。CORSの適切な実装により、異なるドメイン間でのデータ共有を安全に行いつつ、不正なアクセスを防ぐことが可能になるのだ。

Safari 18のセキュリティアップデートに関する考察

Safari 18のセキュリティアップデートは、Webブラウジングの安全性向上に大きく寄与する重要な取り組みだ。特にアドレスバーのスプーフィングやクロスオリジンデータの流出を防ぐ修正は、フィッシング攻撃やデータ漏洩のリスクを大幅に軽減する効果が期待できる。しかし、これらの脆弱性が発見されたこと自体が、Webブラウザのセキュリティ設計の複雑さと、常に新たな脅威が出現する可能性を示している。

今後の課題としては、ゼロデイ脆弱性への対応速度の向上が挙げられる。Appleの調査完了まで脆弱性情報を非公開とする方針は、ユーザー保護の観点から理解できるが、一方で脆弱性の修正と公開のバランスを取ることが重要になるだろう。解決策として、セキュリティ研究者とのより緊密な協力体制の構築や、脆弱性報告プログラムの拡充が考えられる。

新機能としては、ユーザーがブラウザの安全性を直感的に理解できるセキュリティダッシュボードの実装が望まれる。また、機械学習を活用した未知の脆弱性の早期検出システムの導入も期待したい。今後のSafariの進化に注目が集まるなか、ユーザー体験の向上とセキュリティの強化を両立させる取り組みがさらに加速することを期待する。

参考サイト

1. ^ Apple. 「About the security content of Safari 18 - Apple Support」. https://support.apple.com/en-us/121241, (参照 24-09-19).
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧