パスワードマネージャーの脆弱性に関して (1月)
2016年1月6日にパスワードマネージャーの脆弱性に関して、外部のリサーチャーよりご指摘を頂きました。
既に本件に関してはプログラムアップデートを配信済みのため、最新版のパスワードマネージャーをご利用いただいているお客様に影響はございません。
1/13(水) 21:00までの影響範囲、および対応状況は以下となります。
既に本件に関してはプログラムアップデートを配信済みのため、最新版のパスワードマネージャーをご利用いただいているお客様に影響はございません。
1/13(水) 21:00までの影響範囲、および対応状況は以下となります。
【影響を受ける製品】
・パスワードマネージャー 3.5 Windows版
・パスワードマネージャー 3.5 Mac版
※iOS版、Android版については本脆弱性の対象外となります
※上記製品以外のウイルスバスター クラウドなどの弊社製品には影響ございません
・パスワードマネージャー 3.5 Windows版
・パスワードマネージャー 3.5 Mac版
※iOS版、Android版については本脆弱性の対象外となります
※上記製品以外のウイルスバスター クラウドなどの弊社製品には影響ございません
| 対応状況 | |
|---|---|
| 1/6(水) | 外部リサーチャーより以下の脆弱性のご指摘を頂きました。 ・パスワードマネージャーのプロセスがパスワードマネージャー以外からのリクエストを受け付けてしまい、任意のコマンドを実行される可能性のご指摘 ※一部のコマンドによっては暗号化されたパスワード情報が、外部より参照される可能性があります。 |
| 1/8(金) | ・上記を修正するプログラムアップデートを全ユーザに配信済み ※プログラムアップデートは自動的に適用されます |
| 1/8(金) | 外部リサーチャーより以下の脆弱性を追加でご指摘頂きました。 ・セキュアブラウザの一部機能の改善のご指摘 ・パスワードマネージャーで使用しているAPIに関するアクセス権のご指摘 |
| 1/11(月) | 追加でご指摘頂いた脆弱性を修正するプログラムアップデートを全ユーザに配信済です ※プログラムアップデート(適用後のバージョンはWindows版:3.5.(0).1298、Mac版:3.5.1116)は自動的に適用されます ※バージョン番号はWindowsの場合、[コントロールパネル]→[プログラムと機能]のプログラム一覧より確認できます。Macの場合、[管理画面]→ページ右上のアイコンの[設定]より確認できます。 |
以上で、脆弱性に関する対応は完了しております。
なお、1/14(木)より順次、機能改善および追加の修正を含んだプログラムアップデートを全ユーザに配信予定となります。
※パスワードマネージャーの専用ブラウザ(セキュアブラウザ)の仕様変更のため、アップデート適用後、セキュアブラウザは一時的にご利用いただけなくなります。提供可能になりましたら、アップデートを再度配信させて頂きます
※普段ご利用のブラウザでパスワードマネージャーを継続してご利用いただくことは可能です。
※最新のアップデートを適用後、ブラウザを閉じて再度開く際にマスターパスワードを必ず求められる仕様となります。