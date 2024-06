JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月21日、「JVNVU#91384468: LINE client for iOSにおけるユニバーサルクロスサイトスクリプティングの脆弱性」において、LINE client for iOSに脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を悪用されると、アプリ内ブラウザ内に表示された任意のWebサイトに埋め込まれたiframeのトップフレームで任意のJavaScriptが実行されるクロスサイトスクリプティング(XSS)攻撃が可能になる。

JVNVU#91384468: LINE client for iOSにおけるユニバーサルクロスサイトスクリプティングの脆弱性○脆弱性に関する情報脆弱性に関する情報は次のページにまとまっている。CVE-2024-5739 - LY Corporation脆弱性の情報(CVE)は次のとおり。CVE-2024-5739ユニバーサルクロスサイトスクリプティング(UXSS: Universal Cross-Site Scripting)の脆弱性。攻撃者はアプリ内ブラウザに表示される任意のWebサイトの埋め込みiframeから、ユーザー操作を介してトップフレーム内で任意のJavaScriptを実行できる。アプリ内ブラウザは通常、トークメッセージ内のURLをタップすることで開くが、攻撃を成功させるには、被害者が悪意のあるiframeでクリックイベントをトリガーする必要がある。Webサイトに埋め込まれたiframeを攻撃者が制御できれば、この脆弱性を悪用して、トップフレームに表示されるコンテンツやユーザーセッション情報を取得または変更できる可能性がある。○脆弱性が存在する製品脆弱性が存在するとされる製品およびバージョンは次のとおり。LINE client for iOS 14.9.0より前のバージョン○脆弱性が修正された製品脆弱性が修正された製品およびバージョンは次のとおり。LINE client for iOS 14.9.0およびこれ以降のバージョンこの脆弱性はiOS版のLINEアプリにのみ影響し、Android版など他のプラットフォーム向けのLINEアプリには影響しない。JPCERTコーディネーションセンターはiOS版のLINEアプリの利用者に対し、開発者の提供する情報に基づいて最新版にアップデートすることを推奨している。