最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2024/08/20
スマートフォンアプリ「楽天市場アプリ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN56648919/
「楽天市場アプリ」には、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取り指定されたURLへアクセスを実行してしまう、アクセス制限不備の脆弱性(CWE-939)が存在しており、この脆弱性を悪用されることで任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性があります。
開発者が提供する情報をもとに、最新版へアップデートしてください。
Android – Google Play Store
※脆弱性に該当するバージョン: v12.4.0およびそれ以前です
https://play.google.com/store/apps/details?id=jp.co.rakuten.android&hl=eniOS – App Store
※脆弱性に該当するバージョン: v11.7.0およびそれ以前です
https://apps.apple.com/jp/app/楽天市場-お買い物で楽天ポイントが貯まる便利な通販アプリ/id419267350
本脆弱性が修正された「楽天市場」アプリはGoogle Play Store及びApp Storeよりアップデート可能なので、アプリを利用されている方はアップデートするようにしてください。
2024/08/21
会員の個人情報含むファイルをメールで誤送信 – 愛知県弁護士会
https://www.aiben.jp/opinion-statement/news/2024/08/post-115.html
この度、愛知県弁護士会(以下「当会」といいます。)におきまして、以下の個人情報漏えいが発生しました。該当する会員および一部の退会会員の皆様には、ご迷惑とご心配をお掛けすることとなり、心よりお詫び申し上げます。
委員158人が登録するメーリングリストへファイルを送信した際、退会会員を含む2964人の氏名、住所、電話番号、生年月日、年齢、メールアドレス、会派名称、法曹通算年数などの本来削除すべき情報がファイルに含まれて送信されていました。
多くの組織で発生しているように見受けられるメール/ファイルの誤送信ですが、引き続き情報の取り扱いには気を付けていきたいです。
2024/08/22
CVE-2024-28000 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-28000
Incorrect Privilege Assignment vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows Privilege Escalation.This issue affects LiteSpeed Cache: from 1.9 through 6.3.0.1.
「WordPress」向けに提供されているプラグイン「LiteSpeed Cache」に脆弱性「CVE-2024-28000」が報告されています。認証無しで管理者権限を持つ新規ユーザー作成、サイト全体を乗っ取られる可能性があるというものです。CVSSのベーススコアが「9.8」と評価されており、深刻度の高い脆弱性となります。同脆弱性に対応したバージョン「6.4.1」が公開されていますので、本プラグインを利用している方は早急にアップデートする事を推奨します。
・同脆弱性に該当するバージョン
「1.9」から「6.3.0.1」までのバージョン
8月も最終週に入り、暑さもやっと落ちついてきたと思ったら台風が列島を横断しますね。近所のスーパーに行ったらいつも買ってる大盛パックご飯が売り場から消え去っていて驚愕しました。せっかくの週末が悪天候になってしまうのはなんともですが、外に出かけたい気持ちを抑えつつ皆さま安全第一で過ごしましょう!
担当T.Y
