macOS版「Discord」にRCE脆弱性 - 「Notion」や「Postman」にも
「Electron」で開発されたmacOS向けアプリについては、保護機能「TCC(Transparency, Consent and Control)」において許可された権限を乗っ取るツールが、2023年8月にDEFCONで公開された。
今回脆弱性を報告した研究者は、同ツールによって脆弱性の状況を確認したり、悪用が可能であると指摘。「Discord」以外にも、macOS向けに提供されている複数アプリに対し、同様の脆弱性を指摘している。
「API」に対してリクエストを行い、結果を取得できる「Postman」では「CVE-2024-23738」が採番された。「同10.22」および以前のバージョンが影響を受けるという。
さらに画面キャプチャアプリの「Kap」において「CVE-2024-23740」、画面録画アプリ「Loom」では「CVE-2024-23742」、ターミナルアプリ「Hyper」では「CVE-2024-23741」、コラボレーションアプリ「Notion」については「CVE-2024-23743」が明らかとなった。
いずれも「NVD」においてCVSS基本値が「9.8」、重要度が「クリティカル(Critical)」とレーティングされている。また過去には「Evernote for MacOS」においても同様の脆弱性が報告されている。
なお、これら脆弱性の指摘に対し、Electronの開発チームは現地時間2月7日に声明を発表。報告内容や重要度のレーティングに誤りがあると反論している。
(Security NEXT - 2024/02/07 )
ツイート
PR
関連記事
ランサム被害のイズミ、侵入経路はVPN - システムは概ね復旧
保険料算出に「AWS Security Hub」の評価を活用 - 東京海上日動
Veeamのサービスプロバイダ向け管理製品に深刻な脆弱性
高額療養費支給申請書を紛失、ゴミと取り違えられた可能性 - 川崎市
アルバイトが業務上知り得た個人情報を漏洩 - 河合塾進学研究社
グリコ、冷蔵食品の出荷再開を延期 - 約150億円の売上減を予想
GitLab、アップデートで脆弱性11件を修正
マイクロサービスを構築するフレームワーク「Spin」に脆弱性
高校で生徒の進路希望先を記載した一覧表を紛失 - 三重県
「PowerDNS Recursor」の特定バージョンにDoS脆弱性
