らっちゃいブログ

日々の学びと気づきを発信するブログ

IntelliJ に重大な脆弱性!至急アップデートせよ

スポンサーリンク

最近脆弱性情報が頻発してますね。

今度は JetBrains 社のIntelliJベースの製品群に critical な脆弱性が見つかったそうです。セキュリティアップデートはすでにリリースされている模様。

Security update for IntelliJ-based IDEs v2016.1 and older versions | Company Blog

同社によると「現時点で本脆弱性を利用した攻撃は報告されていないが、可能な限り早くアップデートすることを強く推奨する」とあります。よっぽどやばい脆弱性なんでしょうか。。

内容を見てみると、2つあるようです。

Built-in web server vulnerabilities

The cross-site request forgery (CSRF) flaw in the IDE’s built-in webserver allowed an attacker to access local file system from a malicious web page without user consent.

Internal RPC vulnerabilities

Over-permissive CORS settings allowed attackers to use a malicious website in order to access various internal API endpoints, gain access to data saved by the IDE, and gather various meta-information like IDE version or open a project.

ローカルファイルへのアクセスと任意の内部API実行ですか。なるほど、確かにやばそうですね。

最新のバージョンだけでなく、古いバージョンも対象とのことですので影響範囲は広そうです。

[Help] > [Check For Updates」からすぐにアップデートできますので、ご利用の方は急いでアップデートしましょう。