macOS版「Discord」にRCE脆弱性 - 「Notion」や「Postman」にも
「Electron」で開発されたmacOS向けアプリについては、保護機能「TCC(Transparency, Consent and Control)」において許可された権限を乗っ取るツールが、2023年8月にDEFCONで公開された。
今回脆弱性を報告した研究者は、同ツールによって脆弱性の状況を確認したり、悪用が可能であると指摘。「Discord」以外にも、macOS向けに提供されている複数アプリに対し、同様の脆弱性を指摘している。
「API」に対してリクエストを行い、結果を取得できる「Postman」では「CVE-2024-23738」が採番された。「同10.22」および以前のバージョンが影響を受けるという。
さらに画面キャプチャアプリの「Kap」において「CVE-2024-23740」、画面録画アプリ「Loom」では「CVE-2024-23742」、ターミナルアプリ「Hyper」では「CVE-2024-23741」、コラボレーションアプリ「Notion」については「CVE-2024-23743」が明らかとなった。
いずれも「NVD」においてCVSS基本値が「9.8」、重要度が「クリティカル(Critical)」とレーティングされている。また過去には「Evernote for MacOS」においても同様の脆弱性が報告されている。
なお、これら脆弱性の指摘に対し、Electronの開発チームは現地時間2月7日に声明を発表。報告内容や重要度のレーティングに誤りがあると反論している。
(Security NEXT - 2024/02/07 )
ツイート
PR
関連記事
「Apache HTTPD」に複数脆弱性 - 「クリティカル」との評価も
MS、月例パッチを公開 - 200件以上の脆弱性に対応
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
「FortiSandbox」のウェブUIに深刻なRCE脆弱性- アップデートを
賛助会員向けの情報提供メールで誤送信 - 宮崎県産業振興機構
「Chrome」にセキュ更新、脆弱性74件を修正 - 一部で悪用も
転職サイトのスマホアプリにPWリスト攻撃 - キャリアデザインセンター
職員が個人情報1件を目的外利用、懲戒処分 - 大津町
ふるさと納税者に関する個人情報の一部がSNS投稿 - 洲本市
都職員向けサイトでアクセス制御不備 ‐ 個人情報へアクセス可能に
