時間差で提供された脆弱性対応
CVE-2023-28206とCVE-2023-28205というものがあります。
どちらもCVE番号です。
最近2回ずつ話題になりました。
1回目のセキュリティアップデート
脆弱性情報が公開されたのは2023年4月7日です。
対象環境は、macOS Ventura 13.3.1です。
このOSが動作するのはAppleのパソコンです。
- CVE-2023-28206
IOSurfaceアクセラレータの脆弱性の修正です。
アプリがカーネル権限で任意のコードを実行できる可能性があります。
Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
入力検証を改善することで、範囲外書き込みの問題に対処しました。 - CVE-2023-28205
WebKitの脆弱性の修正です。
悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。
Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
メモリ管理を改善し、use after free の問題に対処しました。
2回目のセキュリティアップデート
脆弱性情報が公開されたのは2023年4月10日です。
対象環境は、iOS 15.7.5 および iPadOS 15.7.5です。
このOSが動作するのはAppleのiPhoneとiPadです。
- CVE-2023-28206
IOSurfaceアクセラレータの脆弱性の修正です。
アプリがカーネル権限で任意のコードを実行できる可能性があります。
Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
入力検証を改善することで、範囲外書き込みの問題に対処しました。 - CVE-2023-28205
WebKitの脆弱性の修正です。
悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります。
Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。
メモリ管理を改善し、use after free の問題に対処しました。
この2回のセキュリティアップデート、脆弱性の問題の内容も対策方法も見事に同じです。
異なっているのは対象のOSと機器の部分のみです。
最近は特定のソフトウェアがいろいろな環境で利用されている例が多くあります。
write once run anywhereということもありますし、これ自体は効率の良いことだと思います。
しかし脆弱性の話に関して考えると、何らかの問題が発見されるとその問題はいろいろなところで解消されなければならないということになるようにも思えます。
実装が同じという場合のほかに、設計方針が同じものについても類似の問題がないかを考えるということも必要になるでしょう。
脆弱性の話が公表されたのを知った時、その脆弱性が自分の環境に関係するのかを見ることはよくあると思います。
そのときに自分の環境が対象外だったらまずは安心する気持ちになることもあります。
そしてその後、今回の例のように後日別の範囲に対して同じ脆弱性の対策が提供されるということもあるのですね。
気を緩めることなく継続的に対応していく、ということなのでしょうね。
参考記事(外部リンク):About the security content of macOS Ventura 13.3.1
support.apple.com/en-us/HT213721参考記事(外部リンク):About the security content of iOS 15.7.5 and iPadOS
15.7.5
support.apple.com/en-us/HT213723
