CVE-2019-15629 における概要および対処方法について説明します。
この問題に対する修正はすでに完了しております。
事象の詳細および対応方法については下記の内容をご確認ください。
事象の詳細および対応方法については下記の内容をご確認ください。
概要
2019年9月に以下の悪用によってパスワードマネージャー Android版がスクリーンショットをキャプチャーされ、情報漏えいに繋がる可能性があるとリサーチャーよりご指摘を頂きました。
・悪意のある攻撃者がユーザのデバイスを手に入れ、もしくはサードパーティーのアプリを利用してパスワードマネージャー Android版のロックが解除されている状態でAndroidデバイスのスクリーンショット機能を悪用し、ユーザが保存した情報をキャプチャーして盗む可能性があります。
本件に関しては修正した更新プログラムを配信済みのため、最新版のパスワードマネージャーをご利用いただいているお客様に影響はございません。
影響範囲、および対応状況は以下となります。
脆弱性の影響範囲
下記の製品にて影響を受ける可能性があります。
- パスワードマネージャー 5.1 Android版
- パスワードマネージャー 5.0 Android版
- パスワードマネージャー 3.x Android版
※パスワードマネージャー Windows版/Mac版/iOS版およびウイルスバスター クラウドなどの弊社製品には影響ございません。
修正した更新プログラムはGoogle Playストアに公開しております。Google Playストアにアクセスし、最新バージョンに更新してください。
※更新方法は以下のサポートページをご参照いただけます。
※2019年11月25日現在、適用後の最新バージョンは 5.20.1021 になります。
対応状況・タイムライン
| 対応状況 | |
|---|---|
| 9月 | この脆弱性についてリサーチャーよりご指摘を頂きました。 |
| 11/6(水) | 脆弱性を修正するAndroid版プログラム 5.20.1021を公開しました。 |
対応方法
修正した更新プログラムはGoogle Playストアに公開しております。Google Playストアにアクセスし、最新バージョンに更新してください。
※更新方法は以下のサポートページをご参照いただけます。
※2019年11月25日現在、適用後の最新バージョンは 5.20.1021 になります。
バージョン番号の確認方法
Android版:アプリを起動→画面下部の[設定]→[バージョン情報]より確認できます。
攻撃を確認しているか
2019年11月25日現在、弊社では本脆弱性を利用した攻撃は確認しておりません。
CVE番号
本問題に対する CVE 番号は次の通りです。
- CVE-2019-15629
また、CVSS(3.0)によるスコアは次の通りです。
- CVSS(3.0): 5.5
以上で、脆弱性に関する対応は完了しております。