|
[English]
|
JVNDB-2020-000005
|
トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
|
|
トレンドマイクロ株式会社が提供するパスワードマネージャーは、製品のインストール時に鍵ペアとルート CA 証明書が生成されますが、秘密鍵の保護に問題があり、ローカルの第三者が秘密鍵を取得することが可能です (CWE-200)。
悪意のある第三者が秘密鍵を窃取した場合、任意の SSL/TLS サーバ証明書が作成可能となるため、フィッシング等に悪用される可能性があります。
なお、本脆弱性は JVN#49593434 とは異なる問題です。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: PinkFlyingWhale 黒翼猫 氏
|
|
|
CVSS v3 による深刻度
基本値: 3.3 (注意) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 1.7 (注意) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
トレンドマイクロ
- パスワードマネージャー Windows版 5.0.0.1076 およびそれ以前
- パスワードマネージャー Mac版 5.0.1047 およびそれ以前
|
開発者によると、パスワードマネージャー Android 版およびパスワードマネージャー iOS 版は本脆弱性の影響を受けないとのことです。
|
|
当該製品にアクセス可能な第三者によって、窃取された秘密鍵を用いて SSL/TLS サーバ証明書が作成され、フィッシング等に悪用される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
|
|
トレンドマイクロ
|
|
- 情報漏えい(CWE-200) [IPA評価]
|
|
- CVE-2019-19696
|
|
- JVN : JVN#37183636
- National Vulnerability Database (NVD) : CVE-2019-19696
|
|
|
