IntelliJ に重大な脆弱性!至急アップデートせよ
スポンサーリンク
最近脆弱性情報が頻発してますね。
今度は JetBrains 社のIntelliJベースの製品群に critical な脆弱性が見つかったそうです。セキュリティアップデートはすでにリリースされている模様。
Security update for IntelliJ-based IDEs v2016.1 and older versions | Company Blog
同社によると「現時点で本脆弱性を利用した攻撃は報告されていないが、可能な限り早くアップデートすることを強く推奨する」とあります。よっぽどやばい脆弱性なんでしょうか。。
内容を見てみると、2つあるようです。
Built-in web server vulnerabilities
The cross-site request forgery (CSRF) flaw in the IDE’s built-in webserver allowed an attacker to access local file system from a malicious web page without user consent.
Internal RPC vulnerabilities
Over-permissive CORS settings allowed attackers to use a malicious website in order to access various internal API endpoints, gain access to data saved by the IDE, and gather various meta-information like IDE version or open a project.
ローカルファイルへのアクセスと任意の内部API実行ですか。なるほど、確かにやばそうですね。
最新のバージョンだけでなく、古いバージョンも対象とのことですので影響範囲は広そうです。
[Help] > [Check For Updates」からすぐにアップデートできますので、ご利用の方は急いでアップデートしましょう。