CocoaPodsにCVSSスコア10.0の脆弱性 広範囲に影響が及ぶ恐れ:セキュリティニュースアラート
E.V.A Information Securityは、CocoaPodsで複数の重大な脆弱性を発見したと伝えた。大手企業や組織のプロジェクト依存に影響し、悪意のあるコード挿入やアカウント乗っ取りのリスクをもたらす可能性がある。
E.V.A Information Securityは2024年7月1日(現地時間)、「iOS」向けのライブラリ管理ツール「CocoaPods」に複数の重大な脆弱(ぜいじゃく)性が存在すると伝えた。
これらの脆弱性は「CVE-2024-38368」「CVE-2024-38366」「CVE-2024-38367」として特定されており、これらを悪用されるとGoogleやGitHub、Amazonなどが管理するプロジェクトの依存関係に影響を及ぼす可能性がある。特にCVE-2024-38366のCVSSスコアは10.0と評価されているため注意が必要だ。
CVSSスコアは10.0 重大なソフトウェアサプライチェーンのリスク
発見された脆弱性は以下の通りだ。
- CVE-2024-38368(CVSSスコア:9.3、深刻度:Critical): 2014年にtrunkサーバに移行したことによる影響とされている。孤立したポッドが攻撃者に悪用され、悪意のあるソースコードやコンテンツがポッドに挿入されてしまう可能性がある
- CVE-2024-38366(CVSSスコア:10、深刻度:Critical): trunkサーバに実装した電子メールの検証プロセスに脆弱性があることが判明した。攻撃者がリモートで任意のコードを実行できる可能性がある
- CVE-2024-38367(CVSSスコア:8.2、深刻度:High): 攻撃者がHTTPヘッダを偽造して被害者のセッションを侵害し、ゼロクリックでアカウントが完全に乗っ取られてしまう可能性がある
これらの脆弱性が実際に悪用されているかどうかは不明だが、影響を受ける可能性のある成果物の多くはGoogleやGitHub、Amazon、Dropboxなどの大手企業が管理するプロジェクトの依存関係であり、プロジェクトと下流の依存関係が危険にさらされていることになる。アプリケーションに悪意のあるコードが挿入されることでユーザーの機密情報が流出し、企業は重大な法的責任と評価のリスクにさらされる可能性がある。
これらの脆弱性はすでに修正されたが、開発者や組織はアプリで使用される依存関係およびパッケージマネジャーを確認するとともにサードパーティーライブラリーの検証を定期的に実施することが求められている。この他、ソフトウェアの更新を怠らず、孤立したパッケージやメンテナンスされていないパッケージの使用を制限することが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
OpenSSHにリモートコード実行の致命的な脆弱性 広範囲に影響が及ぶ可能性あり
QualysはOpenSSHサーバに重大な脆弱性があると発表した。この脆弱性は「regreSSHion」と名付けられ「CVE-2024-6387」として特定されている。悪用されるとリモートコード実行の危険性があるため迅速なアップデートが求められる。
CVSSスコアは10.0 Juniper Networksの複数製品に重大な脆弱性
Juniper Networksは複数の製品に重大な脆弱性が存在するとして、緊急アップデートを公開した。脆弱性はCVSSスコア10.0と評価されており、注意が必要だ。
Google翻訳の拡張機能を装った北朝鮮のサイバースパイ活動を確認
Zscalerは北朝鮮政府支援の脅威アクターKimsukyがChrome拡張機能「TRANSLATEXT」を使ってサイバースパイ活動を実行していると報告した。この拡張機能は短期間でGitHubにアップロードされすぐに削除されたが、すでに被害は発生している。
KADOKAWA、ランサムウェア攻撃によって一部従業員の個人情報漏えいを確認
KADOKAWAは2024年6月に発生したランサムウェア攻撃による情報漏えいを確認したと発表した。漏えいした情報には取引先情報や従業員の個人情報が含まれている。同社は専用窓口を設置したことを報告している。