SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

CodeZineニュース

IPAセキュリティセンターとJPCERT/CC、「Electron」におけるNodeモジュール読み込みに関する脆弱性を発表

  • X ポスト
  • このエントリーをはてなブックマークに追加

  • X ポスト
  • このエントリーをはてなブックマークに追加

 IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、「Electron」におけるNodeモジュール読み込みに関する問題を、JVN(Japan Vulnerability Notes)で発表した。

 Electronは、Web技術でクロスプラットフォームのデスクトップアプリケーションを開発するためのフレームワーク。エディタの「Atom」や「Visual Studio Code」などのアプリケーションで利用されている。

 このElectronには、Nodeモジュール読み込みのパスを適切に制限していない問題が存在し、原因は、require関数の処理を行う際、モジュールが存在するディレクトリの親ディレクトリをすべて検索パスに加えてしまうことにある。攻撃者によって、これらの検索パスに細工されたNodeモジュールを置かれていた場合、このNodeモジュールが読み込まれてしまう。

 攻撃者によって細工されたNodeモジュールを読み込んでしまうと、Electronで開発されたアプリケーションが持つ権限で、任意のJavaScriptコードを実行される可能性がある。

 IPAならびにJPCERT/CCでは、Electronを使用したアプリケーションを開発している場合には、Electronをアップデートしたあとでアプリケーションをリビルドするよう促している。

 
【関連リンク】
JVN「ElectronにおけるNodeモジュール読み込みに関する問題」
IPA 技術本部 セキュリティセンター
一般社団法人JPCERTコーディネーションセンター

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
この記事の著者

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/9409 2016/04/22 15:45

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング