公開日:2020/05/21 最終更新日:2020/05/25

JVNVU#94926165
Apple Xcode における脆弱性に対するアップデート

概要

Apple から Xcode 向けのアップデートが公開されました。

影響を受けるシステム

  • Xcode 11.5 より前のバージョン

詳細情報

本アップデートは、Xcode が内包している git において、特別に細工された URL を指定されたときに helper プログラムに対して blank パターンを送信することで hostname およびプロトコルフィールドが欠落し、git の認証情報が任意のホストに送信されてしまう問題 (CVE-2020-11008) に対処したものです。

想定される影響

git の認証情報が漏えいする可能性があります。

対策方法

アップデートする
Apple が提供する情報をもとに最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
Apple About the security content of Xcode 11.5

参考情報

  1. git - Security
    Malicious URLs can still cause Git to send a stored credential to the wrong server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-11008
JVN iPedia

更新履歴

2020/05/25
[詳細情報] の記述を修正しました