【活用ガイド】

JVNDB-2020-003553

Apple Xcode における脆弱性に対するアップデート

概要

Apple から Xcode 向けのアップデートが公開されました。

本アップデートは、Xcode に内包された git が使用している credential helper プログラムの脆弱性 (CVE-2020-5260) に起因して、改行文字を含む特別に細工された URL を処理することで git の認証情報が任意のホストに送信される問題に対処したものです。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.3 (緊急) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
影響を受けるシステム


アップル
  • Xcode 11.4.1 より前のバージョン

想定される影響

git の認証情報が漏えいする可能性があります。
対策

[アップデートする]
Apple が提供する情報をもとに最新版へアップデートしてください。
ベンダ情報

アップル
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-5260
参考情報

  1. JVN : JVNVU#95670817
  2. National Vulnerability Database (NVD) : CVE-2020-5260
  3. 関連文書 : malicious URLs may cause Git to present stored credentials to the wrong server
更新履歴

  • [2020年04月20日]
      掲載

公表日2020/04/17
登録日2020/04/20
最終更新日2020/04/20