| 概要 | A RootCA vulnerability found in Trend Micro Password Manager for Windows and macOS exists where the localhost.key of RootCA.crt might be improperly accessed by an unauthorized party and could be used to create malicious self-signed SSL certificates, allowing an attacker to misdirect a user to phishing sites. |
|---|---|
| 公表日 | 2020年1月18日9:15 |
| 登録日 | 2021年1月26日11:41 |
| 最終更新日 | 2024年11月21日13:35 |
| CVSS3.1 : MEDIUM | |
| スコア | 5.5 |
|---|---|
| ベクター | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| 攻撃元区分(AV) | ローカル |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 低 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| CVSS2.0 : LOW | |
| スコア | 2.1 |
|---|---|
| ベクター | AV:L/AC:L/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) | ローカル |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | いいえ |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:trendmicro:password_manager:*:*:*:*:*:windows:*:* | 5.0 | 5.0.0.1076 | |||
| cpe:2.3:a:trendmicro:password_manager:*:*:*:*:*:macos:*:* | 5.0 | 5.0.1047 | |||
| タイトル | トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性 |
|---|---|
| 概要 | トレンドマイクロ株式会社が提供するパスワードマネージャーは、製品のインストール時に鍵ペアとルート CA 証明書が生成されますが、秘密鍵の保護に問題があり、ローカルの第三者が秘密鍵を取得することが可能です (CWE-200)。 悪意のある第三者が秘密鍵を窃取した場合、任意の SSL/TLS サーバ証明書が作成可能となるため、フィッシング等に悪用される可能性があります。 なお、本脆弱性は JVN#49593434 とは異なる問題です。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: PinkFlyingWhale 黒翼猫 氏 |
| 想定される影響 | 当該製品にアクセス可能な第三者によって、窃取された秘密鍵を用いて SSL/TLS サーバ証明書が作成され、フィッシング等に悪用される可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 |
| 公表日 | 2020年1月17日0:00 |
| 登録日 | 2020年1月17日12:08 |
| 最終更新日 | 2020年1月17日12:08 |
| トレンドマイクロ |
| パスワードマネージャー Mac版 5.0.1047 およびそれ以前 |
| パスワードマネージャー Windows版 5.0.0.1076 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2020年01月17日] 掲載 |
2020年1月14日9:15 |