iOSアプリ「niconico」にSSLサーバ証明書検証不備の脆弱性(JVN) | ScanNetSecurity
2019.10.20(日)

iOSアプリ「niconico」にSSLサーバ証明書検証不備の脆弱性(JVN)

IPAおよびJPCERT/CCは、ドワンゴが提供するiOS版アプリ「niconico」にSSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
iOSアプリ「niconico」にSSLサーバ証明書検証不備の脆弱性(JVN)
iOSアプリ「niconico」にSSLサーバ証明書検証不備の脆弱性(JVN) 全 2 枚 拡大写真
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月29日、株式会社ドワンゴが提供するiOS版アプリ「niconico」にSSLサーバ証明書の検証不備の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSSによる最大Base Scoreは4.0。

iOS版アプリ「niconico バージョン 6.37 およびそれ以前」には、SSLサーバ証明書を適切に検証していない脆弱性(CVE-2015-5639)が存在する。この脆弱性が悪用されると、中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行なわれる可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 「Pulse Secure SSL VPN」に任意コマンド実行など複数の脆弱性(JVN)

    「Pulse Secure SSL VPN」に任意コマンド実行など複数の脆弱性(JVN)

  2. インシデント21%、フィッシングサイト46% 報告件数増加(JPCERT/CC)

    インシデント21%、フィッシングサイト46% 報告件数増加(JPCERT/CC)

  3. 「お取り寄せページ」へ不正アクセス、最大18,855件のカード情報が流出(京都一の傳)

    「お取り寄せページ」へ不正アクセス、最大18,855件のカード情報が流出(京都一の傳)

  4. BIND 9.xに2つの脆弱性、アップデートを呼びかけ(JPRS、JVN)

    BIND 9.xに2つの脆弱性、アップデートを呼びかけ(JPRS、JVN)

  5. ここが変だよ日本のセキュリティ 第39回 「セキュリティがときめく片付けの魔法」

    ここが変だよ日本のセキュリティ 第39回 「セキュリティがときめく片付けの魔法」

  6. ペネトレーションテスターが業務中に逮捕される、“信じられないほどの不手際が重なった” のか(The Register)

    ペネトレーションテスターが業務中に逮捕される、“信じられないほどの不手際が重なった” のか(The Register)

  7. IoT機器によるDDoS攻撃の代行は月額40ドル--地下市場調査(トレンドマイクロ)

    IoT機器によるDDoS攻撃の代行は月額40ドル--地下市場調査(トレンドマイクロ)

  8. 「Ameba」検証作業用の内部資料を誤ってインターネット上で公開(サイバーエージェント)

    「Ameba」検証作業用の内部資料を誤ってインターネット上で公開(サイバーエージェント)

  9. 監視カメラが撮影した顔画像のプライバシー保護技術提供、欧州GDPR規制等 背景(凸版印刷)

    監視カメラが撮影した顔画像のプライバシー保護技術提供、欧州GDPR規制等 背景(凸版印刷)

  10. 「地政学的リスクや、ハクティビストなどは十分に考慮に入れて欲しい」日本を取り巻くサイバー脅威を CrowdStrike が解説

    「地政学的リスクや、ハクティビストなどは十分に考慮に入れて欲しい」日本を取り巻くサイバー脅威を CrowdStrike が解説PR

ランキングをもっと見る