「パスワードマネージャー」に情報漏えいの2つの脆弱性(トレンドマイクロ、JVN)
トレンドマイクロは、2つの「パスワードマネージャーのセキュリティ情報」をアラート/アドバイザリ情報として更新し、発表した。
脆弱性と脅威
セキュリティホール・脆弱性
ひとつは、特定の条件下において、管理するIDとパスワードなどの情報をメモリ上に平文で保持し続けている状態が発生するため、メモリ内容をスキャンすることができれば取得可能となる脆弱性(CVE-2019-15625)。影響を受けるシステムは次の通り。
パスワードマネージャー Windows 版 バージョン 3.8.0.1103 およびそれ以前
パスワードマネージャー Mac 版 バージョン 3.8.0.1052 およびそれ以前
もうひとつは、製品のインストール時に鍵ペアとルートCA証明書が生成されるが、秘密鍵の保護に問題があり、ローカルの第三者が秘密鍵を取得することが可能となる脆弱性(CVE-2019-19696)。2つとも、PinkFlyingWhaleの黒翼猫氏がIPAに報告を行った。影響を受けるシステムは次の通り。
パスワードマネージャー Windows版 5.0.0.1076 およびそれ以前
パスワードマネージャー Mac版 5.0.1047 およびそれ以前
トレンドマイクロでは、同脆弱性を解消する新バージョンをリリースしており、早期の適用を呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》