概要
その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。
本日の巷のニュース
- Android版「LINE」の「Keep」機能に別のアカウントからでもアクセスできる脆弱性
- Things BoardにXSSの脆弱性
Android版「LINE」の「Keep」機能に別のアカウントからでもアクセスできる脆弱性
「LINE」アプリのKeep機能でアップロードしたデータが別のアカウントから閲覧可能な状態である脆弱性が存在します。
7年近く修正されていない脆弱性です。
影響をうける対象
以下の条件の場合に脆弱性の影響をうけます。
- Android版「LINE」アプリのバージョン12.18.0未満で、LINEアカウントの削除もしくは、他の端末へのLINEアカウントの引き継ぎを行った
- その際に、「LINE」アプリが強制終了する等で、LINEアカウントからのログアウト処理が中断した
「LINE」アプリを削除せずに、共有もしくは譲渡によって同一のAndroid端末を第三者が利用し、別のLINEアカウントで利用した
ずっと自分の携帯を使い続けていて、他人に渡したりしなければ影響はなさそう。
対処方法
- アプリのバージョンを12.18.0へアップデートする
一次情報
- https://linecorp.com/ja/security/article/439
Things BoardにXSSの脆弱性
オープンソースのIoTプラットフォームでデータを収集・可視化するThingsBoardには、XSSの脆弱性が存在します。
影響をうける対象
- 3.4.1未満のバージョン
対処方法
- 公式からの更新はなし。
一次情報
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40004