米国 Apple は5月21日、Safari 7.0.4 と 6.1.4 をリリースした。21件のセキュリティアップデートを提供している。21件はいずれも、Safari のレンダリングエンジン WebKit と、様々な形態によるメモリ破損に関連したものだ。

Apple、Safari 7.0.4 をリリース ― Chrome が昨年7月に修正済みの脆弱性にようやく対応
今回対応された脆弱性には、報告された日付が古く、すでに Google Chrome では昨年のうちに対応済みの2件(「CVE-2013-2875」と「CVE-2013-2927」)が含まれている。例えば「CVE-2013-2875」は、Google Chrome では2013年7月に Chrome 28 で対応されている。「CVE-2013-2927」は、2013年10月の Chrome 30 で対応済みだ。

つまり、「CVE-2013-2875」脆弱性に関しては、Safari ユーザーは Chrome ユーザーより10か月も長くセキュリティリスクに曝されていたことになる。

Chrome は、昨年4月まで Safari 同様にレンダリングエンジンに WebKit を採用していた。その後 Google は WebKit をフォーク。新たなレンダリングエンジン「Blink」の採用に踏み切った。とはいうものの、Blink はいまも WebKit エンジンのエレメントに依存しており、Google が Chrome で発見した脆弱性は、Safari にも影響を与えている。

Google によるセキュリティリサーチの成果が Apple の Safari ユーザーにも恩恵を与えているのは良いことだとは思う。だが、Apple が Safari ユーザーを Chrome ユーザーよりも10か月も長くリスクに曝したまま放置していたというのは頂けない。

幸いにも、この脆弱性により、Safari ユーザーが実際に攻撃を受けたという報告や兆候は見られない。だが、だからといって、Apple がこの件に対する責任から逃れられるわけでははないのだ。

セキュリティとは、常に時間との戦いだ。この戦いでは、Apple は利用者を安全に保護するために、より良い仕事をすることを求められている。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。