CVE-2019-15625 における概要および対処方法について説明します。
この問題に対する修正はすでに完了しております。
事象の詳細および対応方法については下記の内容をご確認ください。
事象の詳細および対応方法については下記の内容をご確認ください。
概要
2019年6月20日にパスワードマネージャーの以下の脆弱性に関して、リサーチャーよりご指摘を頂きました。
・悪意のある攻撃者がユーザのコンピューターへ侵入し、ユーザの権限で操作ができる状況において、パスワードマネージャーの特定のプロセスを利用して機微な情報をメモリから抽出する可能性があります。
※「コンピューターへ侵入」とは:
悪意のある攻撃者が、何らかの手段でコンピューターのユーザアカウントとパスワードを盗むなどの不正な行為を行い、ユーザのコンピューターに対してリモートデスクトップ接続、物理的な侵害を含むローカルアクセス等を成功させることを指します。
本件に関しては修正した更新プログラムを配信済みのため、最新版のパスワードマネージャーをご利用いただいているお客様に影響はございません。
影響範囲、および対応状況は以下となります。
脆弱性の影響範囲
下記の製品にて影響を受ける可能性があります。
- パスワードマネージャー 3.x Windows版
- パスワードマネージャー 3.x Mac版
※パスワードマネージャー Android版/iOS版およびウイルスバスター クラウドなどの弊社製品には影響ございません。
対応状況・タイムライン
| 対応状況 | |
|---|---|
| 6/20(木) |
この脆弱性についてリサーチャーよりご指摘を頂きました。
|
| 7/30(火) |
脆弱性を修正するWindows版プログラム 5.0.0.1058を公開しました。
|
| 8/28(水) |
脆弱性を修正するMac版プログラム 5.0.1037を公開しました。
|
| 9/5(木) |
脆弱性を修正するWindows版およびMac版更新プログラムは全ユーザに配信済となります。
|
対応方法
修正した更新プログラムは自動的に配信・適用されます。
※2020年1月16日現在、適用後の最新バージョンは以下のとおりです。
パスワードマネージャー Windows版:5.0.0.1081
パスワードマネージャー Mac版:5.0.1073
バージョン番号の確認方法
攻撃を確認しているか
2020年1月16日現在、弊社では本脆弱性を利用した攻撃は確認しておりません。
CVE番号
本問題に対する CVE 番号は次の通りです。
- CVE-2019-15625
また、CVSS(3.0)によるスコアは次の通りです。
- CVSS(3.0): 5.6
以上で、脆弱性に関する対応は完了しております。