多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。