Amazon Linux 2 : webkitgtk4 (ALAS-2025-2869)

critical Nessus プラグイン ID 237469

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている webkitgtk4 のバージョンは、2.46.6-1 より前です。したがって、ALAS2-2025-2869 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

この問題は UI の扱いを改善することで対処されました。この問題は、tvOS 17.4、macOS Sonoma 14.4、visionOS 1.1、iOS 17.4 および iPadOS 17.4、watchOS 10.4、Safari 17.4 で修正されています。悪意のあるウェブサイトでオーディオデータが、クロスオリジンで抽出される可能性があります。(CVE-2024-23254)

チェックを改善することで、ロジックの問題に対処しました。この問題は、iOS 17.3 および iPadOS 17.3、Safari 17.3、tvOS 17.3、macOS Sonoma 14.3、watchOS 10.3 で修正されています。悪意のある Web サイトにより、予期しないクロスオリジン動作が引き起こされる可能性があります。(CVE-2024-23271)

メモリ処理を改善することで、この問題に対処しました。この問題は、tvOS 17.5、visionOS 1.2、Safari 17.5、iOS 17.5 および iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 で修正されています。ウェブコンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2024-27808)

メモリ処理を改善することで、この問題に対処しました。この問題は tvOS 17.5、iOS 16.7.8 および iPadOS 16.7.8、visionOS 1.2、Safari 17.5、iOS 17.5 および iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 で修正されました。
ウェブコンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2024-27820)

状態管理を改善することで、この問題に対処しました。この問題は、tvOS 17.5、visionOS 1.2、Safari 17.5、iOS 17.5 および iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 で修正されています。悪意を持って細工された Web ページにより、ユーザーの指紋が取得される可能性があります。(CVE-2024-27830)

入力検証の改善により、整数オーバーフローが対処されました。この問題は tvOS 17.5、iOS 16.7.8 および iPadOS 16.7.8、visionOS 1.2、Safari 17.5、iOS 17.5 および iPadOS 17.5 で修正されました。悪意を持って細工されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2024-27833)

この問題は、ロジックを追加することで対処されました。この問題は tvOS 17.5、iOS 16.7.8 および iPadOS 16.7.8、visionOS 1.2、Safari 17.5、iOS 17.5 および iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 で修正されました。悪意を持って細工された Web ページにより、ユーザーの指紋が取得される可能性があります。(CVE-2024-27838)

ノイズ注入アルゴリズムを改善することで、この問題に対処しました。この問題は、visionOS 1.2、macOS Sonoma 14.5、Safari 17.5、iOS 17.5 および iPadOS 17.5 で修正されています。悪意を持って細工された Web ページにより、ユーザーの指紋が取得される可能性があります。(CVE-2024-27850)

境界チェックを改善することで、この問題に対処しました。この問題は、tvOS 17.5、visionOS 1.2、Safari 17.5、iOS 17.5 および iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2024-27851)

この問題は、チェックを改善することで対処されました。この問題は macOS Sonoma 14.5、iOS 16.7.8 および iPadOS 16.7.8、Safari 17.5、iOS 17.5 および iPadOS 17.5、watchOS 10.5、tvOS 17.5、visionOS 1.2で修正されました。ファイルを処理すると、予期しないアプリケーション終了または任意のコード実行が引き起こされる能性があります。(CVE-2024-27856)

メモリ管理を改善することで、メモリ解放後使用 (Use After Free) の問題に対処しました。この問題は iOS 16.7.9 および iPadOS 16.7.9、Safari 17.6、iOS 17.6 および iPadOS 17.6、watchOS 10.6、tvOS 17.6、visionOS 1.3、macOS Sonoma 14.6 で修正されました。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。
(CVE-2024-40782)

状態管理を改善することで、この問題に対処しました。この問題は、Safari 18、visionOS 2、watchOS 11、macOS Sequoia 15、iOS 18、iPadOS 18、tvOS 18 で修正されています。悪質な細工されたウェブコンテンツを処理することで、ユニバーサルクロスサイトスクリプティングが引き起こされる可能性があります。(CVE-2024-40857)

この問題は UI の改善により解決されました。この問題は、Safari 18、macOS Sequoia 15 で修正されています。悪意のあるウェブサイトにアクセスすると、アドレスバーのなりすましにつながる可能性があります。(CVE-2024-40866)

この問題は、チェックを改善することで対処されました。この問題は、tvOS 17.6、visionOS 1.3、Safari 17.6、watchOS 10.6、iOS 17.6 および iPadOS 17.6、macOS Sonoma 14.6 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2024-44185)

iframe 要素にクロスオリジンの問題が存在しました。この問題は、セキュリティオリジンの追跡を改善することで解決されました。この問題は、Safari 18、visionOS 2、watchOS 11、macOS Sequoia 15、iOS 18、iPadOS 18、tvOS 18 で修正されています。悪意のある Web サイトでデータが、クロスオリジンで抽出される可能性があります。(CVE-2024-44187)

この問題は、チェックを改善することで対処されました。この問題は、watchOS 11、macOS Sequoia 15、Safari 18、visionOS 2、iOS 18 および iPadOS 18、tvOS 18 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2024-44192)

入力検証を改善することで、メモリ破損の問題に対処しました。この問題は、iOS 18.1 および iPadOS 18.1、watchOS 11.1、visionOS 2.1、tvOS 18.1、macOS Sequoia 15.1、Safari 18.1 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2024-44244)

この問題は、チェックを改善することで対処されました。この問題は tvOS 18.1、iOS 18.1 および iPadOS 18.1、iOS 17.7.1 および iPadOS 17.7.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1 で修正されました。悪意を持って細工されたウェブコンテンツを処理することで、コンテンツセキュリティポリシー (CSP) の実施が妨げられる可能性があります。(CVE-2024-44296)

状態管理を改善することで、クッキー管理の問題に対処しました。この問題は、Safari 18.1.1、iOS 17.7.2 および iPadOS 17.7.2、macOS Sequoia 15.1.1、iOS 18.1.1 および iPadOS 18.1.1、visionOS 2.1.1 で修正されています。
悪意のある細工された Web コンテンツを処理することで、クロスサイトスクリプティングが引き起こされる可能性があります。Apple は、この問題が Intel ベースの Mac システムで積極的に悪用された可能性があるという報告を認識しています。(CVE-2024-44309)

この問題は、チェックを改善することで対処されました。この問題は、iPadOS 17.7.3、watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 および iPadOS 18.2 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2024-54479)

この問題は、チェックを改善することで対処されました。この問題は、watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 および iPadOS 18.2 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2024-54502)

型の取り違えの問題が、メモリ処理を改善することで対処されました。この問題は、iPadOS 17.7.3、watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 および iPadOS 18.2 で修正されています。
悪質な細工されたウェブコンテンツを処理すると、メモリ破損が発生する可能性があります。(CVE-2024-54505)

メモリ処理を改善することで、この問題に対処しました。この問題は、watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 および iPadOS 18.2 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2024-54508)

メモリ処理を改善することで、この問題に対処しました。この問題は、watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 および iPadOS 18.2 で修正されています。悪質な細工されたウェブコンテンツを処理すると、メモリ破損が発生する可能性があります。(CVE-2024-54534)

メモリ処理を改善することで、この問題に対処しました。この問題は、visionOS 2.2、tvOS 18.2、Safari 18.2、watchOS 11.2、iOS 18.2 および iPadOS 18.2、macOS Sequoia 15.2 で修正されています。悪質な細工されたウェブコンテンツを処理すると、メモリ破損が発生する可能性があります。(CVE-2024-54543)

メモリ処理を改善することで、この問題に対処しました。この問題は、watchOS 10.6、tvOS 17.6、Safari 17.6、macOS Sonoma 14.6、visionOS 1.3、iOS 17.6 および iPadOS 17.6 で修正されています。ウェブコンテンツを処理すると、サービス拒否が引き起こされる可能性があります。(CVE-2024-54551)

メモリ処理を改善することで、この問題に対処しました。この問題は、iOS 17.4 および iPadOS 17.4、Safari 17.4、tvOS 17.4、watchOS 10.4、visionOS 1.1、macOS Sonoma 14.4 で修正されています。ウェブコンテンツを処理すると、サービス拒否が引き起こされる可能性があります。(CVE-2024-54658)

この問題は、ファイルシステムへのアクセス制限を改善することで対処されました。この問題は、macOS Sequoia 15.3、Safari 18.3、iOS 18.3 および iPadOS 18.3、visionOS 2.3 で修正されています。悪意を持って細工された Web ページにより、ユーザーの指紋が取得される可能性があります。(CVE-2025-24143)

ファイルの処理を改善することで、プライバシーの問題に対処しました。この問題は、macOS Sequoia 15.3、Safari 18.3、iOS 18.3 および iPadOS 18.3 で修正されています。ウェブインスペクターから URL をコピーすると、コマンドインジェクションが発生する可能性があります。
(CVE-2025-24150)

メモリ処理を改善することで、この問題に対処しました。この問題は、visionOS 2.3、Safari 18.3、iOS 18.3 および iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3 で修正されています。ウェブコンテンツを処理すると、サービス拒否が引き起こされる可能性があります。(CVE-2025-24158)

状態管理を改善することで、この問題に対処しました。この問題は、visionOS 2.3、Safari 18.3、iOS 18.3 および iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2025-24162)

不正なアクションを防止するためのチェックを強化することで、領域外書き込みの問題を解決しました。この問題は、visionOS 2.3.2、iOS 18.3.2 および iPadOS 18.3.2、macOS Sequoia 15.3.2、Safari 18.3.1 で修正されています。
悪意を持って作成されたウェブコンテンツにより、ウェブコンテンツサンドボックスを突破できる可能性があります。これは、iOS 17.2 でブロックされた攻撃に対する追加の修正です。(Apple 社は、この問題が iOS 17.2 より前のバージョンの iOS 上で、特定の個人を狙った非常に高度な攻撃に悪用された可能性があるという報告を受けています。)。(CVE-2025-24201)

制限を増やすことで、アクセス許可の問題に対処しました。この問題は、Safari 18.4、iOS 18.4 および iPadOS 18.4 で修正されています。悪質な iframe を読み込むと、クロスサイトスクリプティング攻撃が発生する可能性があります。
(CVE-2025-24208)

バッファオーバーフローの問題が、メモリ処理を改善することで対処されました。この問題は、tvOS 18.4、Safari 18.4、iPadOS 17.7.6、iOS 18.4 および iPadOS 18.4、macOS Sequoia 15.4 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。(CVE-2025-24209)

メモリ処理を改善することで、この問題に対処しました。この問題は、visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4 および iPadOS 18.4、macOS Sequoia 15.4、Safari 18.4 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しない Safari のクラッシュが発生する可能性があります。(CVE-2025-24216)

メモリ処理を改善することで、この問題に対処しました。この問題は、visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4 および iPadOS 18.4、macOS Sequoia 15.4、Safari 18.4 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しない Safari のクラッシュが発生する可能性があります。(CVE-2025-24264)

メモリ管理を改善することで、メモリ解放後使用 (Use After Free) の問題に対処しました。この問題は、visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4 および iPadOS 18.4、macOS Sequoia 15.4、Safari 18.4 で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しない Safari のクラッシュが発生する可能性があります。(CVE-2025-30427)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「yum update webkitgtk4」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2/ALAS-2025-2869.html

https://alas.aws.amazon.com/cve/html/CVE-2024-23254.html

https://alas.aws.amazon.com/cve/html/CVE-2024-23271.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27808.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27820.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27830.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27833.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27838.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27850.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27851.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27856.html

https://alas.aws.amazon.com/cve/html/CVE-2024-40782.html

https://alas.aws.amazon.com/cve/html/CVE-2024-40857.html

https://alas.aws.amazon.com/cve/html/CVE-2024-40866.html

https://alas.aws.amazon.com/cve/html/CVE-2024-44185.html

https://alas.aws.amazon.com/cve/html/CVE-2024-44187.html

https://alas.aws.amazon.com/cve/html/CVE-2024-44192.html

https://alas.aws.amazon.com/cve/html/CVE-2024-44244.html

https://alas.aws.amazon.com/cve/html/CVE-2024-44296.html

https://alas.aws.amazon.com/cve/html/CVE-2024-44309.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54479.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54502.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54505.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54508.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54534.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54543.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54551.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54658.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24143.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24150.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24158.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24162.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24201.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24208.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24209.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24216.html

https://alas.aws.amazon.com/cve/html/CVE-2025-24264.html

https://alas.aws.amazon.com/cve/html/CVE-2025-30427.html

https://alas.aws.amazon.com/faqs.html

プラグインの詳細

深刻度: Critical

ID: 237469

ファイル名: al2_ALAS-2025-2869.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/5/29

更新日: 2025/5/29

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.4

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-24201

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2024-54534

脆弱性情報

CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:webkitgtk4-devel, p-cpe:/a:amazon:linux:webkitgtk4-jsc, p-cpe:/a:amazon:linux:webkitgtk4-debuginfo, p-cpe:/a:amazon:linux:webkitgtk4, p-cpe:/a:amazon:linux:webkitgtk4-jsc-devel

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/5/29

脆弱性公開日: 2023/7/19

CISA の既知の悪用された脆弱性の期限日: 2024/12/12, 2025/4/3

参照情報

CVE: CVE-2024-23254, CVE-2024-23271, CVE-2024-27808, CVE-2024-27820, CVE-2024-27830, CVE-2024-27833, CVE-2024-27838, CVE-2024-27850, CVE-2024-27851, CVE-2024-27856, CVE-2024-40782, CVE-2024-40857, CVE-2024-40866, CVE-2024-44185, CVE-2024-44187, CVE-2024-44192, CVE-2024-44244, CVE-2024-44296, CVE-2024-44309, CVE-2024-54479, CVE-2024-54502, CVE-2024-54505, CVE-2024-54508, CVE-2024-54534, CVE-2024-54543, CVE-2024-54551, CVE-2024-54658, CVE-2025-24143, CVE-2025-24150, CVE-2025-24158, CVE-2025-24162, CVE-2025-24201, CVE-2025-24208, CVE-2025-24209, CVE-2025-24216, CVE-2025-24264, CVE-2025-30427