macOS版「Discord」にRCE脆弱性 - 「Notion」や「Postman」にも
「Electron」で開発されたmacOS向けアプリについては、保護機能「TCC(Transparency, Consent and Control)」において許可された権限を乗っ取るツールが、2023年8月にDEFCONで公開された。
今回脆弱性を報告した研究者は、同ツールによって脆弱性の状況を確認したり、悪用が可能であると指摘。「Discord」以外にも、macOS向けに提供されている複数アプリに対し、同様の脆弱性を指摘している。
「API」に対してリクエストを行い、結果を取得できる「Postman」では「CVE-2024-23738」が採番された。「同10.22」および以前のバージョンが影響を受けるという。
さらに画面キャプチャアプリの「Kap」において「CVE-2024-23740」、画面録画アプリ「Loom」では「CVE-2024-23742」、ターミナルアプリ「Hyper」では「CVE-2024-23741」、コラボレーションアプリ「Notion」については「CVE-2024-23743」が明らかとなった。
いずれも「NVD」においてCVSS基本値が「9.8」、重要度が「クリティカル(Critical)」とレーティングされている。また過去には「Evernote for MacOS」においても同様の脆弱性が報告されている。
なお、これら脆弱性の指摘に対し、Electronの開発チームは現地時間2月7日に声明を発表。報告内容や重要度のレーティングに誤りがあると反論している。
(Security NEXT - 2024/02/07 )
ツイート
PR
関連記事
一部工事注文書控が所在不明、誤廃棄の可能性 - カンセキ
法人会員情報が流出、脆弱性の点検過程から発覚 - 関西エアポート
セイコーエプソン製プリンタドライバに脆弱性 - 日本語以外の環境に影響
DDoS攻撃が件数減、一方100Gbps超の攻撃も - IIJレポート
Google、ブラウザ最新版「Chrome 136」を公開 - 8件のセキュリティ修正
米当局、悪用が確認された脆弱性4件について注意喚起
海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
