JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月21日、「JVNVU#91384468: LINE client for iOSにおけるユニバーサルクロスサイトスクリプティングの脆弱性」において、LINE client for iOSに脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を悪用されると、アプリ内ブラウザ内に表示された任意のWebサイトに埋め込まれたiframeのトップフレームで任意のJavaScriptが実行されるクロスサイトスクリプティング(XSS)攻撃が可能になる。

  • JVNVU#91384468: LINE client for iOSにおけるユニバーサルクロスサイトスクリプティングの脆弱性

    JVNVU#91384468: LINE client for iOSにおけるユニバーサルクロスサイトスクリプティングの脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-5739 ユニバーサルクロスサイトスクリプティング(UXSS: Universal Cross-Site Scripting)の脆弱性。攻撃者はアプリ内ブラウザに表示される任意のWebサイトの埋め込みiframeから、ユーザー操作を介してトップフレーム内で任意のJavaScriptを実行できる。

アプリ内ブラウザは通常、トークメッセージ内のURLをタップすることで開くが、攻撃を成功させるには、被害者が悪意のあるiframeでクリックイベントをトリガーする必要がある。Webサイトに埋め込まれたiframeを攻撃者が制御できれば、この脆弱性を悪用して、トップフレームに表示されるコンテンツやユーザーセッション情報を取得または変更できる可能性がある。

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • LINE client for iOS 14.9.0より前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • LINE client for iOS 14.9.0およびこれ以降のバージョン

この脆弱性はiOS版のLINEアプリにのみ影響し、Android版など他のプラットフォーム向けのLINEアプリには影響しない。JPCERTコーディネーションセンターはiOS版のLINEアプリの利用者に対し、開発者の提供する情報に基づいて最新版にアップデートすることを推奨している。