解説:

CVE-2024-44309に関する脆弱性調査

1. 脆弱性の概要

CVE-2024-44309は、WebKitGTKおよびApple製品のWebKitコンポーネントにおけるクッキー管理に関するデータ隔離バイパスの脆弱性です。悪意を持って作成されたWebコンテンツを処理することで、クロスサイトスクリプティング（XSS）攻撃が可能になる可能性があります。Appleはこの脆弱性がIntelベースのMacシステムで積極的に悪用された可能性があることを認識しています。

1.1 影響

この脆弱性が悪用されると、攻撃者はWebコンテンツを介して不正なスクリプトを実行し、クロスサイトスクリプティング（XSS）攻撃を仕掛ける可能性があります。 XSSは、ユーザーにとって迷惑行為からアカウントの完全な乗っ取りまで、さまざまな問題を引き起こす可能性があります。 攻撃者は情報を取得したり、情報を改ざんしたりできる可能性があります。

1.2 深刻度

NVD (National Vulnerability Database) およびCISA (Cybersecurity and Infrastructure Security Agency) は、CVSS v3.1の基本値で深刻度を「6.3 (MEDIUM)」と評価しています。Red Hatは「重要 (IMPORTANT)」としています。

• CVSS v3.1基本値: 6.3 (MEDIUM)
  • 攻撃元区分 (AV): ネットワーク (Network)
  • 攻撃条件の複雑さ (AC): 低 (Low)
  • 必要な特権レベル (PR): 不要 (None)
  • ユーザー関与 (UI): 要 (Required)
  • 影響の想定範囲 (S): 変更なし (Unchanged)
  • 機密性への影響 (C): 低 (Low)
  • 完全性への影響 (I): 低 (Low)
  • 可用性への影響 (A): 低 (Low)
• Red Hatの評価: 重要 (IMPORTANT)

2. 対象となる環境

この脆弱性は、WebKitGTKを使用する環境、およびAppleの製品に影響を与えます。

2.1 影響を受けるOSバージョン

以下のApple製品のバージョンが影響を受けます。

• Safari 18.1.1 未満
• iOS 17.7.2 未満
• iOS 18.0 以上 18.1.1 未満
• iPadOS 17.7.2 未満
• iPadOS 18.0 以上 18.1.1 未満
• macOS Sequoia 15.1.1 未満 (macOS 15.0 以上 15.1.1 未満)
• visionOS 2.1.1 未満

また、WebKitGTKを使用するRed Hat Enterprise Linux 7の以下のパッケージも影響を受ける可能性があります。

• evolution-data-server
• glade
• gnome-boxes
• gnome-initial-setup
• gnome-online-accounts
• gnome-shell
• shotwell
• sushi
• yelp

Oracle Java SE 8u441およびOracle GraalVM Enterprise Edition 20.3.17/21.3.13のJavaFX WebKitGTKコンポーネントも影響を受けます。

2.2 影響を受ける設定

特定の「影響を受ける設定」についての具体的な記述は見つかりませんでした。しかし、この脆弱性は、WebKitGTKまたは影響を受けるApple製品のWebKitコンポーネントが、悪意を持って作成されたWebコンテンツを処理する際に発生します。 Red Hat Enterprise Linux 7の場合、WebKitGTK4を必要とするパッケージがシステムにインストールされており、GNOMEなどのグラフィカルインターフェースを介して信頼されていないWebコンテンツを処理する場合に、この脆弱性が悪用される可能性があります。

3. 影響を受けた時の兆候

この脆弱性はクロスサイトスクリプティング（XSS）攻撃を可能にするものであり、具体的な「影響を受けた時の兆候」は攻撃の内容によって異なります。一般的にXSS攻撃の兆候としては以下のようなものが考えられます。

• Webサイトの表示の異常
• 意図しないリダイレクト
• 見慣れないポップアップの表示
• 個人情報の入力フォームの出現
• セッションハイジャックによるアカウントの不正利用

Appleは、IntelベースのMacシステムでこの脆弱性が積極的に悪用された報告を認識していると発表しています。

4. 推奨対策

4.1 本対策

影響を受けるベンダーから提供されている最新のセキュリティアップデートを適用することが最も推奨される対策です。

• Apple製品:

  • Safari 18.1.1以降にアップデートする。
  • iOS 17.7.2またはiOS 18.1.1以降にアップデートする。
  • iPadOS 17.7.2またはiPadOS 18.1.1以降にアップデートする。
  • macOS Sequoia 15.1.1以降にアップデートする。
  • visionOS 2.1.1以降にアップデートする。

• Red Hat Enterprise Linux:

  • Red Hatが提供するセキュリティエラッタを適用する。Red Hat Enterprise Linux 8 (webkit2gtk3) のELSA-2024-10481、Oracle Linux 9 (webkit2gtk3) のELSA-2024-10472が該当します。
• Oracle製品:
  • Oracle Java SE 8u441およびOracle GraalVM Enterprise Edition 20.3.17/21.3.13向けのパッチを適用する。

4.2 暫定回避策（緩和策）

• Red Hat Enterprise Linux 7:

  • 信頼されていないWebコンテンツをWebKitGTKで処理しないようにします。
  • この脆弱性は、WebKitGTK4を必要とするパッケージ（evolution-data-server、glade、gnome-boxes、gnome-initial-setup、gnome-online-accounts、gnome-shell、shotwell、sushi、yelp）がシステムにインストールされており、GNOMEなどのグラフィカルインターフェースを介して信頼されていないWebコンテンツを処理する場合にのみ悪用されます。これらのパッケージを削除することを検討してください。ただし、一部のパッケージはGNOMEに必須であり、削除するとGNOMEや他のパッケージも削除され、機能が損なわれる可能性があります。サーバーはターミナルインターフェース経由で引き続き使用できます。WebKitGTK3はどのパッケージにも必須ではないため、機能に影響を与えることなく削除できます。

• 一般的なWeb利用:

  • 不審なWebサイトへのアクセスや、信頼できないソースからのWebコンテンツの読み込みを避ける。
  • WebブラウザのJavaScriptを無効にすることも一時的な対策となりえますが、多くのWebサイトの機能に影響を与える可能性があります。

参照したサイト

• CVE-2024-44309 - Red Hat Customer Portal
• CVE-2024-44309: Debian Linux Cookie Management XSS Flaw - SentinelOne
• CVE-2024-44309 - CVE Record
• CVE-2024-44309 | Tenable®
• CVE-2024-44309 Detail - NVD
• CVE-2024-44309 - Unbreakable Linux Network - Oracle
• CVE-2024-44309 : A cookie management issue was addressed with improved state management. This iss - CVE Details
• Oracle JDK CVE-2024-44309 Cross Site Scripting Vulnerability - FortiGuard Labs
• JVNDB-2024-013747 - JVN iPedia - 脆弱性対策情報データベース
• 米当局、AppleやOracleの脆弱性悪用に注意喚起 - Security NEXT
• Linux Distros のパッチ未適用の脆弱性: CVE-2024-44309 | Tenable®
• 苹果解决了两个被积极利用的零日漏洞 - 安全KER
• 苹果官方警告：零日漏洞攻击瞄准Mac电脑用户 - 安全内参
• 高危保安警報(A24-11-16): Apple 產品多個漏洞 - GovCERT.HK