CVE の base score が満点 10 点なの久しぶりに見たなあ! という感じです。
OSS のサプライチェーン攻撃でここまで大規模かつ注入成功したの珍しい事例、なんですかね。
元々の XZ Utils 開発者兄貴が、おそらく共犯の人にめっちゃねっちょり言われて精神的に「めんどくせぇー!」となったのと、一部の話だとデジタルデトックス? かなんか知らないけどネットを断つタイミングがあるらしいということで、色々積み重なった結果だったのかなあ。
なお周囲では homebrew 経由で 5.6.x を入れている人もいなかったし、管理している環境下ではベータバージョンのディストリを採用している環境も存在していなかったのでセーフでした。
とはいえ毎月作っている月次報告書に、自主的に付記つけるくらいにはインパクトあったね。
