「パスワードマネージャー」に情報漏えいの2つの脆弱性(トレンドマイクロ、JVN)
トレンドマイクロは、2つの「パスワードマネージャーのセキュリティ情報」をアラート/アドバイザリ情報として更新し、発表した。
脆弱性と脅威
セキュリティホール・脆弱性
ひとつは、特定の条件下において、管理するIDとパスワードなどの情報をメモリ上に平文で保持し続けている状態が発生するため、メモリ内容をスキャンすることができれば取得可能となる脆弱性(CVE-2019-15625)。影響を受けるシステムは次の通り。
パスワードマネージャー Windows 版 バージョン 3.8.0.1103 およびそれ以前
パスワードマネージャー Mac 版 バージョン 3.8.0.1052 およびそれ以前
もうひとつは、製品のインストール時に鍵ペアとルートCA証明書が生成されるが、秘密鍵の保護に問題があり、ローカルの第三者が秘密鍵を取得することが可能となる脆弱性(CVE-2019-19696)。2つとも、PinkFlyingWhaleの黒翼猫氏がIPAに報告を行った。影響を受けるシステムは次の通り。
パスワードマネージャー Windows版 5.0.0.1076 およびそれ以前
パスワードマネージャー Mac版 5.0.1047 およびそれ以前
トレンドマイクロでは、同脆弱性を解消する新バージョンをリリースしており、早期の適用を呼びかけている。
関連記事
特集
関連リンク
アクセスランキング
-
5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
-
2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
-
KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める
-
マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表
-
STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
