「Google Chrome 78」のゼロデイ脆弱性は「Electron」にも影響 ～修正版が公開

公式ブログ“Electron Blog”

　アプリケーションフレームワーク「Electron」の開発チームは11月4日（現地時間）、「Google Chrome 78」で修正された“WebAudio”の脆弱性（CVE-2019-13720）が「Electron」にも影響することを明らかにした。本脆弱性は悪用が確認されており、できるだけ早い対策版へのアップデートが強く推奨されている。

　“CVE-2019-13720”はいわゆる解放後メモリ利用（Use-after-free）の脆弱性で、同脆弱性を発見したKaspersky社によると、韓国語のニュースサイトに仕掛けられた悪意あるスクリプトで悪用が確認されたという。標的となるOSと「Google Chrome」のバージョンを検出すると、脆弱性を突いてデータの読み書き権限を奪取し、マルウェアをダウンロード・復号して実行する。他のWebサイトへの攻撃にも応用が可能なので、韓国語のニュースサイトを読まないユーザーも警戒が必要だ。

　開発チームによると、“CVE-2019-13720”はサードパーティまたは信頼されていないJavaScriptを実行する可能性のある「Electron」アプリに影響する。「Electron 7」（v7.0.1）にはすでに修正が含まれているが、「Electron 6」は攻撃を受ける恐れがあり、v6.1.4へのアップデートが必要だ。「Electron 5」はこの脆弱性が存在しないため影響を受けない。

　なお、「Electron」アプリでは現在、OSの非公開APIを呼び出しているとして“Mac App Store”への登録がリジェクトされてしまうことが問題となっている。現在対応中だが、「Electron」のアップデートを検討している開発者は注意したい。