カスペルスキー製パスワードマネージャー、同じパスワードを生成（修正済み）

Atom | RSS

このサイトを検索 | Search this site

カスペルスキー製パスワードマネージャー、同じパスワードを生成（修正済み）

魚拓です。

ネタ元: スラド セキュリティ

https://security.srad.jp/story/21/07/11/1713232/

カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 | スラド セキュリティ

カスペルスキー製パスワードマネージャー「Kaspersky Password Manager（KPM）」に脆弱性が見つかり、新たにCVE-ID（CVE-2020-27020）が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている。

発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。

目次[表示]

• 1.カスペルスキーの対応
• 2.修正済み
• 3.まとめ

カスペルスキーの対応

Advisory issued on April 27, 2021
Description
Kaspersky has fixed a security issue in Kaspersky Password Manager product for several platforms (CVE-2020-27020). Password generator was not completely cryptographically strong and potentially allowed an attacker to predict generated passwords in some cases. An attacker would need to know some additional information (for example, time of password generation).

All public versions of Kaspersky Password Manager liable to this issue now have a new logic of password generation and a passwords update alert for cases when a generated password is probably not strong enough.List of Advisories

DeepL

アドバイザリー発行日：2021年4月27日
説明
カスペルスキーは、いくつかのプラットフォーム向けの Kaspersky Password Manager 製品のセキュリティ問題 (CVE-2020-27020) を修正しました。パスワードジェネレーターの暗号強度が完全ではなく、場合によっては攻撃者が生成されたパスワードを予測できる可能性がありました。攻撃者は、いくつかの追加情報（例えば、パスワード生成の時間）を知る必要があります。

この問題に該当するKaspersky Password Managerのすべての公開バージョンでは、パスワード生成の新しいロジックと、生成されたパスワードが十分な強度を持たない可能性がある場合のパスワード更新アラートが用意されています。

修正済み

セキュリティソリューションをウリにする会社のパスワード生成アプリケーションが「ハリボテだった」という事実に驚きますが、顛末を公開し修正プログラムをリリースしたことは、ユーザーにとってはいいことです。

当たり前だけど...

開発元がロシアなので、「ワザト」なのか「バグ」なのか「市場調査なのか」、はたまた「バレるまでの実験」なのかはわかりませんが印象は悪いですね。

まとめ

• カスペルスキー製パスワードマネージャーは役に立たない時期があったことが判明した
• 修正プログラムリリース済み
• ユーザーは最新プログラムにアップデートすることが推奨されている

 External link

• List of Advisories

news の記事 (Articles about the news)

1. FX詐欺の見分け方（金融庁金融機関リスト）
2. 【ハッキング】ウェイバックマシーンがハッキングされパスワード漏洩（Wayback Machine）
3. データ流出疑惑の7つのVPNサービスとは？
4. 【NHK vs IBM】54億円訴訟の真相とは？システム開発の落とし穴
5. 【逆転敗訴！】棋譜に著作権なし！囲碁将棋チャンネル敗訴、YouTuber完全勝利！
6. Googleマップ劣化疑惑の調査結果（ゼンリンとの関係は？）
7. 【トランプ 2.0】DS解体、移民追放、人身売買は死刑、日本よ核を持て！
8. 【まとめ】ワードプレス騒動まとめ、修復は絶望的（WordPress vs WP Engine）
9. 【一審敗訴】日浦八段、鼻出しマスク処分を不服として提訴したが主張通らず
10. [将棋] 日浦市郎八段、裁判で争うと捨て台詞 (提訴済み)
11. news ラベルの記事（要約付）
12. russia が含まれる記事（要約付）

新着順 (New arrival order)

1. 【2024年度総括】藤井七冠(最優秀棋士)、羽生九段現役続行と会長退任を表明
2. 【バグ】TVerRec 3.4.2 のリネーム処理不具合とその原因を考察
3. 【恐怖】ポンジスキームとは？歴史から学ぶ詐欺の仕組み
4. 【終息】TVerRec 3.3.9（暫定）で機能制限ほぼ解除、3.4.0リリース！
5. 【緊急】TVerRec 3.3.6緊急リリース！仕様変更に暫定対応
6. 【未解決】TVerRecダウンロード不具合！TVerの仕様変更かも？
7. 【昇級／降級】全棋士ランキング確定、伊藤匠叡王B1へ昇級、羽生九段B2へ降級
8. 【将棋】なぜ藤井聡太は人々を魅了するのか？【2024年度振り返り】
9. 【更新】Lhaz 2.5.4リリース！法人利用が有料化へ
10. 【Pixel 3月／2025】カメラ、WebView 、Bluetooth、電話のバグ修正【Android 15】

タイトル：カスペルスキー製パスワードマネージャー、同じパスワードを生成（修正済み）：SC2

このサイトを検索 | Search this site