iPhoneやMacのアプリが影響を受ける可能性、CocoaPodsの脆弱性問題
マイナビニュース / 2024年7月4日 8時51分
CVE-2024-38368およびCVE-2024-38366はいずれも深刻度が緊急(Critical)と評価されている。攻撃者はこれら脆弱性を悪用することで、既存パッケージの所有権を消去してアカウントを乗っ取ることができる。
CVE-2024-38367の深刻度は重要(Important)と評価されている。通常はユーザー操作を必要とするため、ワンクリックでアカウントを乗っ取る攻撃が可能とされる。しかしながらパッケージ所有者が、メールをアクティブに検証するセキュリティソリューションを導入している場合、セキュリティソリューションがリンクにアクセスしてしまうため、ゼロクリックの攻撃が可能とされる。
○対策
CocoaPodsは2023年10月ごろまでに、これら脆弱性を修正している。しかしながら、修正パッチ適用までに登録されていたパッケージは、その所有権を侵害され、悪意のあるコードを挿入された可能性がある。CocoaPodsにパッケージを登録している開発者には、所有権の乗っ取りおよび悪意のあるコードが挿入されていないか検証することが推奨されている。
今回発見された脆弱性はサプライチェーン攻撃に悪用された可能性がある。CocoaPodsを利用しているすべての開発者は、自身が開発したアプリへの影響を調査することが望まれている。
(後藤大地)
-
-
- 1
- 2
-
この記事に関連するニュース
-
中国の脅威グループ、シスコのスイッチにマルウェアを仕込む
マイナビニュース / 2024年7月4日 16時28分
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
Androidアプリ「ZOZOTOWN ファッション通販」に脆弱性
マイナビニュース / 2024年6月20日 16時28分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
WindowsのPHPサーバに緊急の脆弱性、確認とアップデートを
マイナビニュース / 2024年6月10日 15時23分
ランキング
-
1迷惑メール転送すると送信元が行政処分される? Xでアドレス拡散、宛先の「迷惑メール相談センター」が明かす実情
J-CASTニュース / 2024年7月2日 11時0分
-
2ヤマト運輸のLINEに「ありがとニャン」と返信したら…… “意外な機能”に「知らなかった」と驚き
ねとらぼ / 2024年7月4日 8時0分
-
3こ、これは……! Netflixで見られる“まさかの映画”に思わず二度見 「まさかネトフリでやってくれるとは!!」
ねとらぼ / 2024年7月4日 7時0分
-
4老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
5新紙幣「一万円札と千円札の1の字が違う」SNSに違和感覚えるという声も…… 「1」のデザインが違う理由は?
ねとらぼ / 2024年7月3日 18時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)