Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

macOS版「Discord」にRCE脆弱性 - 「Notion」や「Postman」にも

「Electron」で開発されたmacOS向けアプリについては、保護機能「TCC(Transparency, Consent and Control)」において許可された権限を乗っ取るツールが、2023年8月にDEFCONで公開された。

今回脆弱性を報告した研究者は、同ツールによって脆弱性の状況を確認したり、悪用が可能であると指摘。「Discord」以外にも、macOS向けに提供されている複数アプリに対し、同様の脆弱性を指摘している。

「API」に対してリクエストを行い、結果を取得できる「Postman」では「CVE-2024-23738」が採番された。「同10.22」および以前のバージョンが影響を受けるという。

さらに画面キャプチャアプリの「Kap」において「CVE-2024-23740」、画面録画アプリ「Loom」では「CVE-2024-23742」、ターミナルアプリ「Hyper」では「CVE-2024-23741」、コラボレーションアプリ「Notion」については「CVE-2024-23743」が明らかとなった。

いずれも「NVD」においてCVSS基本値が「9.8」、重要度が「クリティカル(Critical)」とレーティングされている。また過去には「Evernote for MacOS」においても同様の脆弱性が報告されている。

なお、これら脆弱性の指摘に対し、Electronの開発チームは現地時間2月7日に声明を発表。報告内容や重要度のレーティングに誤りがあると反論している

記事加筆のお知らせ:脆弱性の指摘に対して、Electronの開発チームより声明が出たことを受け、一部加筆しました。

(Security NEXT - 2024/02/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

キャビネットで管理していた心理相談予約簿が所在不明 - 熊本市
海外グループ会社でランサム被害、詳細は調査中 - 山一電機
制服の受け渡し連絡メールで誤送信 - カンコー学生服
廃棄予定PCの紛失判明、約8カ月倉庫で保管 - 東京モノレール
サイバー攻撃で電子カルテ停止、外来診療は再開 - 市立奈良病院
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
インシデント件数が24%減 - GitHub悪用の標的型攻撃も
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
まもなくGW - 長期休暇前にセキュリティ対策状況の点検を
「Firefox 150」を公開 - 41件の脆弱性を修正

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.