iOS版LINEアプリに脆弱性、アップデートを

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月21日、「JVNVU#91384468: LINE client for iOSにおけるユニバーサルクロスサイトスクリプティングの脆弱性」において、LINE client for iOSに脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を悪用されると、アプリ内ブラウザ内に表示された任意のWebサイトに埋め込まれたiframeのトップフレームで任意のJavaScriptが実行されるクロスサイトスクリプティング（XSS）攻撃が可能になる。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

CVE-2024-5739 - LY Corporation

脆弱性の情報(CVE)は次のとおり。

CVE-2024-5739
ユニバーサルクロスサイトスクリプティング(UXSS: Universal Cross-Site Scripting)の脆弱性。攻撃者はアプリ内ブラウザに表示される任意のWebサイトの埋め込みiframeから、ユーザー操作を介してトップフレーム内で任意のJavaScriptを実行できる。

アプリ内ブラウザは通常、トークメッセージ内のURLをタップすることで開くが、攻撃を成功させるには、被害者が悪意のあるiframeでクリックイベントをトリガーする必要がある。Webサイトに埋め込まれたiframeを攻撃者が制御できれば、この脆弱性を悪用して、トップフレームに表示されるコンテンツやユーザーセッション情報を取得または変更できる可能性がある。
○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

LINE client for iOS 14.9.0より前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

LINE client for iOS 14.9.0およびこれ以降のバージョン

この脆弱性はiOS版のLINEアプリにのみ影響し、Android版など他のプラットフォーム向けのLINEアプリには影響しない。JPCERTコーディネーションセンターはiOS版のLINEアプリの利用者に対し、開発者の提供する情報に基づいて最新版にアップデートすることを推奨している。
（後藤大地）