Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

macOS版「Discord」にRCE脆弱性 - 「Notion」や「Postman」にも

「Electron」で開発されたmacOS向けアプリについては、保護機能「TCC(Transparency, Consent and Control)」において許可された権限を乗っ取るツールが、2023年8月にDEFCONで公開された。

今回脆弱性を報告した研究者は、同ツールによって脆弱性の状況を確認したり、悪用が可能であると指摘。「Discord」以外にも、macOS向けに提供されている複数アプリに対し、同様の脆弱性を指摘している。

「API」に対してリクエストを行い、結果を取得できる「Postman」では「CVE-2024-23738」が採番された。「同10.22」および以前のバージョンが影響を受けるという。

さらに画面キャプチャアプリの「Kap」において「CVE-2024-23740」、画面録画アプリ「Loom」では「CVE-2024-23742」、ターミナルアプリ「Hyper」では「CVE-2024-23741」、コラボレーションアプリ「Notion」については「CVE-2024-23743」が明らかとなった。

いずれも「NVD」においてCVSS基本値が「9.8」、重要度が「クリティカル(Critical)」とレーティングされている。また過去には「Evernote for MacOS」においても同様の脆弱性が報告されている。

なお、これら脆弱性の指摘に対し、Electronの開発チームは現地時間2月7日に声明を発表。報告内容や重要度のレーティングに誤りがあると反論している

記事加筆のお知らせ:脆弱性の指摘に対して、Electronの開発チームより声明が出たことを受け、一部加筆しました。

(Security NEXT - 2024/02/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Kubernetes」マルチテナント管理ツール「Capsule」に深刻な脆弱性
Google、「Chrome 139」をリリース - AIが発見した脆弱性を修正
「Firefox 142」を公開 - 9件の脆弱性を解消
中学PTA議決資料が閲覧可能に、クラウドで設定ミス - 奈良市
緑地管理者がボランティア宛てメールを「CC」送信 - 名古屋市
旧保育所に不法侵入、建物内部に個人情報 - 北見市
マイナンバー文書を誤廃棄、保存期限の設定ミスで - 上三川町
「VMware Tanzu for Valkey」の脆弱性を修正 - 「クリティカル」も
「PostgreSQL」にセキュリティアップデート - 「13系」は11月にEOL
米当局、「Trend Micro Apex One」に対する脆弱性攻撃に注意喚起

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.