JVNDB-2015-003171
|
** 削除 ** Samsung Galaxy S にプリインストールされた Swiftkey が言語パックのアップデートを正しく検証しない脆弱性
|
|
** 削除 ** 本案件は、CVE-2015-4640 および CWE-2015-4641 に分割されたことを受け削除されました。
CVE-2015-4640 および CWE-2015-4641 を参照してください。
Samsung Galaxy S にプリインストールされている、Swiftkey SDK を用いたキーボード機能には、言語パックのアップデートを正しく検証しない脆弱性が存在します。
データの信頼性についての不十分な検証 (CWE-345) - CVE-2015-2865
Samsung Galaxy S には Swiftkey SDK を用いたキーボード機能がプリインストールされています。このキーボード機能には Samsung の署名がなされており、システム権限で動作します。このキーボード機能は言語パックのアップデートを定期的に確認しますが、通信は HTTP 経由で行われています。中間者攻撃によって通信内容を改ざんされると、当該機器への任意のデータ書き込みに悪用される可能性があります。
CWE-345: Insufficient Verification of Data Authenticity
http://cwe.mitre.org/data/definitions/345.html
|
|
|
|
|
サムスン
- Galaxy S4
- Galaxy S4 Mini
- Galaxy S5
- Galaxy S6
|
|
|
遠隔の第三者による中間者 (man-in-the-middle) 攻撃によって、当該機器に任意のデータを書き込まれる可能性があります。ただし Swiftkey によるアップデートの確認頻度を考慮すると、このような攻撃が可能になる確率は低いと考えられます。
|
|
[アップデートする]
Samsung は、通信キャリアに対してファームウェアアップデートを提供しています。
通信キャリアが提供するファームウェアアップデートを適用してください。
当該機器のファームウェアアップデートが提供されていない場合、次のワークアラウンドの適用を検討してください。
[信頼できないネットワークを使用しない]
Wi-Fi サービスなど、信頼できないネットワークの使用は、中間者攻撃を受ける機会を増やすことに繋がります。
|
|
Swiftkey
サムスン
|
|
|
|
- CVE-2015-2865
|
|
- JVN : JVNVU#94598171
- US-CERT Vulnerability Note : VU#155412
|
|
- [2015年06月18日]
掲載
[2015年06月22日]
概要:内容を更新
ベンダ情報:サムスン (Information Regarding the Keyboard Security Issue and Our Device Policy Update) を追加
[2015年06月25日]
概要に記載の理由により削除扱いに変更
|
