iPhoneやMacのアプリが影響を受ける可能性、CocoaPodsの脆弱性問題
マイナビニュース / 2024年7月4日 8時51分
E.V.A Information Securityは7月1日(現地時間)、「Vulnerabilities in CocoaPods Open the Door to Supply Chain Attacks Against Thousands of iOS and MacOS Applications」において、Appleプラットフォーム向け依存関係マネージャーの「CocoaPods」から緊急の脆弱性が複数発見されたと報じた。これら脆弱性を悪用されるとパッケージの所有権を乗っ取られ、アプリケーションに悪意のあるコードを挿入される可能性がある。
○CocoaPodsの問題
CocoaPodsはmacOS、iOS、watchOS、tvOSをサポートする依存関係マネージャー。SwiftおよびObjective-Cを用いたアプリ開発において外部ライブラリの管理を支援する。公式の発表によると、10万件以上のライブラリ登録があり、300万以上のアプリに利用されている。
CocoaPodsは2014年、「Trunk」Webサービスを導入し、コマンドラインから直接パッケージ(CocoaPodまたはPodと呼ばれる)を公開できるようにした。この変更に伴い既存のパッケージ所有者には、「所有権」を要求する移行作業が求められた(参考:「CocoaPods Trunk - CocoaPods Blog」)。
しかしながら、少なくとも数千のパッケージは移行作業が行われず、所有者不明のままとなった。E.V.A Information Securityの調査によると、2024年7月1日時点における放置されたパッケージは1,866件存在するという。
○脆弱性の情報
発見された脆弱性の情報(CVE)は次のとおり。
CVE-2024-38368 - パッケージの所有権を第3者が要求できる脆弱性。移行を完了していないパッケージを乗っ取られる可能性がある
CVE-2024-38366 - CocoaPods認証サーバにOSコマンドインジェクションの脆弱性。認証されていないリモートの攻撃者にサーバ上で任意のOSコマンドを実行される可能性がある
CVE-2024-38367 - CocoaPods認証サーバにセッション検証URL偽装の脆弱性。攻撃者はURLを差し替えた正規のアカウントリセットを要求し、ユーザー操作を介してリセットセッションを乗っ取る可能性がある
-
-
- 1
- 2
-
この記事に関連するニュース
-
中国の脅威グループ、シスコのスイッチにマルウェアを仕込む
マイナビニュース / 2024年7月4日 16時28分
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
Androidアプリ「ZOZOTOWN ファッション通販」に脆弱性
マイナビニュース / 2024年6月20日 16時28分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
WindowsのPHPサーバに緊急の脆弱性、確認とアップデートを
マイナビニュース / 2024年6月10日 15時23分
ランキング
-
1迷惑メール転送すると送信元が行政処分される? Xでアドレス拡散、宛先の「迷惑メール相談センター」が明かす実情
J-CASTニュース / 2024年7月2日 11時0分
-
2こ、これは……! Netflixで見られる“まさかの映画”に思わず二度見 「まさかネトフリでやってくれるとは!!」
ねとらぼ / 2024年7月4日 7時0分
-
3ヤマト運輸のLINEに「ありがとニャン」と返信したら…… “意外な機能”に「知らなかった」と驚き
ねとらぼ / 2024年7月4日 8時0分
-
4老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
5人気VTuber、サイバー攻撃余波?で本名公表 問われる妥当性、それでも「認めざるを得なかった」理由
J-CASTニュース / 2024年7月4日 12時58分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)