多くのLinuxアプリケーションで使用されているWebKitレンダリングエンジンは、セキュリティ面で深刻な問題を抱えています。これは、GNOMEのWebKitGTK+プロジェクトに携わるマイケル・カタンツァロ氏のブログ記事から明らかです。彼は、オープンソースコミュニティが解決すべき問題について警鐘を鳴らしています。
WebKitの問題点
ほとんどのウェブブラウザは、ユーザー向けに定期的にセキュリティアップデートを提供しています。しかし、WebKitベースのブラウザ、メールクライアント、あるいはそのレンダリングエンジンを使用するその他のアプリケーションをLinuxで使用している場合、セキュリティアップデートが提供されていない可能性が高くなります。
WebKitは大規模なオープンソースプロジェクトです。AppleはMacとiOSのSafariにWebKitを使用しており、これらのバージョンのWebKitは定期的にセキュリティアップデートを受けています。しかし、Linuxで使用されているWebKitのポートはそうではありません。
Linuxディストリビューションでよく使用されるポートはWebKitGTK+で、これはGNOMEソフトウェアやGTK+ツールキットを使用するその他のアプリケーションに関連付けられています。これには、GNOMEの主力ウェブブラウザであるEpiphany(単に「Web」または「GNOME Web」と呼ばれることが多い)が含まれます。また、Evolutionメールクライアント、Midoriウェブブラウザ、GIMP画像編集プログラム、BansheeやRhythmboxメディアプレーヤーなど、その他多くのアプリケーションも含まれます。
WebKitGTK+はこれまでセキュリティアップデートを提供してきませんでした。セキュリティ修正を含むアップデートはリリースされていましたが、プロジェクトがCVE番号を提供していなかったため、Linuxディストリビューションはそれらをアップデートとして提供していませんでした。しかし、プロジェクトは12月末に130件以上の修正された問題をリストアップしたセキュリティアドバイザリを公開しました。これは1ヶ月以上前のことであり、これらのアップデートに対応するための変更を加えたのはFedoraのみでした。さらに悪いことに、これらのアップデートが頻繁にリリースされていたとしても、一部のアプリケーションは依然として古いバージョンのWebKitに依存しており、セキュリティアップデートを含むアップデートが一切提供されなくなっています。
これはGNOMEだけの問題ではありません。KDEプロジェクトはWebKitからChromiumベースのQtWebEngineへと移行しています。しかし、多くのアプリケーションは依然としてQtWebKitと呼ばれるWebKitの移植版に依存しており、これはすでに何年も時代遅れとなっています。KMailメールクライアント、Rekonqウェブブラウザ、KTorrent BitTorrentクライアント、Amarokメディアプレーヤーなどのアプリケーションは、多数のセキュリティホールを含むこの古いバージョンのWebKitを使用しています。
これはLinuxだけの問題ではありません。WebKitの組み込みバージョンを搭載したPCゲームやその他のWindowsアプリケーションも、組み込みWebブラウザに未修正のセキュリティホールが多数存在する可能性があります。
これは大きなトピックです。詳細を本当に理解するには、Michael Catanzaro のブログ記事全文をお読みください。
Ubuntu には Firefox と Thunderbird が含まれていますが、これはおそらく最適な選択です。
MozillaのGeckoとGoogleのBlinkはアップデートされる
Linuxでウェブを閲覧する際にセキュリティを確保するには、WebKitベースのウェブブラウザは避けるべきです。Mozilla FirefoxやGoogleのChromiumプロジェクトをベースにしたウェブブラウザは、セキュリティアップデートがタイムリーに提供されるため、最適な選択肢と言えるでしょう。Debianは、この理由からFirefoxまたはChromiumベースのブラウザの使用を公式に推奨しています。
一部のLinuxディストリビューションで使用されているMozilla Firefoxウェブブラウザは、名前が異なる場合がありますが、優れたブラウザです。例えばDebianではIceweaselと呼ばれています。これらのブラウザはMozillaのGeckoエンジンをベースにしています。
一部のLinuxディストリビューションでは、Google Chromeのオープンソース版であるChromiumが提供されています。Chromiumもセキュリティアップデートを受け取れます。Google ChromeはGoogleから直接インストールすることもでき、その場合はGoogleが独自のセキュリティアップデートを提供します。これらのブラウザはGoogleのBlinkエンジンを使用しています。
WebKitに依存するメールクライアントも避けましょう。Webベースのメールを使うか、デスクトップ版のMozilla Thunderbirdを試すのも良いでしょう。Firefoxと同様に、ThunderbirdもMozillaのGeckoエンジンをベースにしています。Thunderbirdには新機能は追加されていませんが、セキュリティアップデートは提供されています。
WebKitベースのアプリケーションを使用する場合は、WebKitGTK+のアップデート版がリリースされたらすぐに定期的にリリースされるLinuxディストリビューションを使用する必要があります。ブログ記事によると、現在このアップデート版が提供されているのはFedoraとArchのみですが、Debian、OpenSUSE、Gentooのテスト版もアップデートされています。これらのLinuxディストリビューションを使用している場合でも、古いWebKitの移植版に依存するアプリケーション自体は依然として脆弱です。
