▶︎情報セキュリティ▶︎セキュリティニュース▶︎脆弱性▶︎LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性 JVNVU#91696361(CWE-295、CVE-2023-5554)

情報セキュリティ

LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性 JVNVU#91696361(CWE-295、CVE-2023-5554)

LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性 JVNVU#91696361について記載します。

脆弱性の概要

LINE client for iOSに組み込まれている「金融系モジュール」には、ログ情報の送信処理においてサーバ証明書の検証不備の脆弱性が存在します。

脆弱性CWE-295について

証明書が無効または悪意がある場合、攻撃者がホストとクライアント間の通信パスに干渉することにより、信頼できるエンティティになりすますことが可能になる可能性があります。
製品が信頼できるホストであると信じて悪意のあるホストに接続したり、製品がだまされて信頼できるホストから発信されたように見えるなりすましデータを受け入れたりする可能性があります。

影響を受けるバージョン

LINE Client for iOS、13.12.0 およびそれ以降、13.16.0 より前のバージョン

対策

開発者は、本脆弱性を修正したバージョン13.16.0をリリースしていますので、最新状態へアップデートを行う。

関連記事

Default ThumbnailMoxaのIIoTゲートウェイ「AIG-301シリーズ」の特定バージョンで既知の脆弱性 azure-uamqp に影響すると発表 Default ThumbnailIvantiの複数製品で危険度の高い脆弱性が発生(CVE-2023-46805、CVE-2024-21887) Fortinetで重大な脆弱性のセキュリティアップデートを実施 FortiClient、FortiClientLinux、FortiProxyなどFortinetで重大な脆弱性のセキュリティアップデートを実施 FortiClient、FortiClientLinux、FortiProxyなど  iOSとAndroidに対応したトロイの木馬を発見iOSとAndroidに対応したトロイの木馬(GoldPickaxe)を発見|顔認証データやSMSも傍受 EDR製品比較9選 製品タイプや導入時の注意点も解説EDR製品比較9選 製品タイプや導入時の注意点も解説 AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIAWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
TOPへ