Electronアプリの脆弱性、開発チームが反論 - RCEではなく「クリティカル」は誤り
Electronの開発チームは、同プラットフォームで作成された複数のmacOS向けアプリに脆弱性が指摘されている問題で、報告内容や重大製の評価に誤りがあると反論した。
macOS向けに提供されている「Discord」や「Postman」「Notion」「Evernote」など複数のアプリにおいて、リモートよりコードが実行でき、重要度が「クリティカル(Critical)」とされる脆弱性が報告されたことを受け、誤った内容で「CVE」に脆弱性が申請され、登録されたとの見解を示した。
いずれも同じ人物より報告された脆弱性で、「runAsNode」と「enableNodeCliInspectArguments」の設定が無効化されていない場合に、リモートより任意のコードを実行できると報告されている。
これに対し、開発チームは、現地時間2月7日に声明を発表。脆弱性の存在は認める一方、リモートよりコードを実行することはできないと説明。重要度がもっとも高い「クリティカル(Critical)」とされているが、誤った内容で登録されていると主張した。
また脆弱性の指摘を受けたアプリの多くがバグ報奨金プログラムを展開しているにも関わらず通知されなかったことに触れ、善意を持って「CVE」への登録が要求されたものではないと批判。重要度が「クリティカル」とされることでユーザーに混乱をきたすおそれがあるとの懸念を示している。
(Security NEXT - 2024/02/08 )
ツイート
PR
関連記事
複数団体宛てのメールに個人メアドを誤掲載 - 埼玉県
ノベルティ送付時に異なる宛名、宛先データに不備 - 東京都
小学校で児童の個人情報含む指導計画を紛失 - 柏市
ランサム被害で株主や従業員情報が流出した可能性 - テイン
SMTPサーバで設定不備、約17万件のスパム送信 - 奈良女大
保険料の架空請求メール出回る - 電子決済アプリ誘導に警戒を
一部利用者で不正ログイン、注意を喚起 - 時事通信フォト
ファイルサーバ「goshs」に認証回避など複数脆弱性 - 修正版を公開
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「第一生命」かたるフィッシングメールに注意 - 「5000円相当プレゼント」と誘導
