WEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパン[ruby-dev:42003] から始まるスレッド によると、Ruby に添付の Web サーバフレームワーク WEBrick に XSS 可能な脆弱性が発見されたらしい。 ところが、この脆弱性を発見したのは Apple のようなのだが、Mac OS X 同梱の Ruby については既にセキュリティアップデートで対応が行われたのに、Ruby 本体側では未だに一切の対応がなされていないようだ。つまり、Mac OS X 同梱ではない Ruby に添付の WEBrick を使用している Web サービスについては、現在、ゼロデイ攻撃が可能な脆弱性が存在するということになる。 Apple が Ruby 本体側に情報を開示しないままに脆弱性の公開を許可してしまったのか、それとも Ruby 本体側の対応が遅れてしまって公開期限に間に合わなかったのか、はたまた別の問題があったのか。なんにせよ、どうして
