CocoaPodsにCVSSスコア10.0の脆弱性 広範囲に影響が及ぶ恐れセキュリティニュースアラート

E.V.A Information Securityは、CocoaPodsで複数の重大な脆弱性を発見したと伝えた。大手企業や組織のプロジェクト依存に影響し、悪意のあるコード挿入やアカウント乗っ取りのリスクをもたらす可能性がある。

» 2024年07月04日 07時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 E.V.A Information Securityは2024年7月1日(現地時間)、「iOS」向けのライブラリ管理ツール「CocoaPods」に複数の重大な脆弱(ぜいじゃく)性が存在すると伝えた。

 これらの脆弱性は「CVE-2024-38368」「CVE-2024-38366」「CVE-2024-38367」として特定されており、これらを悪用されるとGoogleやGitHub、Amazonなどが管理するプロジェクトの依存関係に影響を及ぼす可能性がある。特にCVE-2024-38366のCVSSスコアは10.0と評価されているため注意が必要だ。

CVSSスコアは10.0 重大なソフトウェアサプライチェーンのリスク

 発見された脆弱性は以下の通りだ。

  • CVE-2024-38368(CVSSスコア:9.3、深刻度:Critical): 2014年にtrunkサーバに移行したことによる影響とされている。孤立したポッドが攻撃者に悪用され、悪意のあるソースコードやコンテンツがポッドに挿入されてしまう可能性がある
  • CVE-2024-38366(CVSSスコア:10、深刻度:Critical): trunkサーバに実装した電子メールの検証プロセスに脆弱性があることが判明した。攻撃者がリモートで任意のコードを実行できる可能性がある
  • CVE-2024-38367(CVSSスコア:8.2、深刻度:High): 攻撃者がHTTPヘッダを偽造して被害者のセッションを侵害し、ゼロクリックでアカウントが完全に乗っ取られてしまう可能性がある

 これらの脆弱性が実際に悪用されているかどうかは不明だが、影響を受ける可能性のある成果物の多くはGoogleやGitHub、Amazon、Dropboxなどの大手企業が管理するプロジェクトの依存関係であり、プロジェクトと下流の依存関係が危険にさらされていることになる。アプリケーションに悪意のあるコードが挿入されることでユーザーの機密情報が流出し、企業は重大な法的責任と評価のリスクにさらされる可能性がある。

 これらの脆弱性はすでに修正されたが、開発者や組織はアプリで使用される依存関係およびパッケージマネジャーを確認するとともにサードパーティーライブラリーの検証を定期的に実施することが求められている。この他、ソフトウェアの更新を怠らず、孤立したパッケージやメンテナンスされていないパッケージの使用を制限することが推奨される。

Copyright © ITmedia, Inc. All Rights Reserved.