
カスペルスキー製パスワードマネージャー、同じパスワードを生成(修正済み)
魚拓です。
ネタ元: スラド セキュリティ
https://security.srad.jp/story/21/07/11/1713232/カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 | スラド セキュリティ
カスペルスキー製パスワードマネージャー「Kaspersky Password Manager(KPM)」に脆弱性が見つかり、新たにCVE-ID(CVE-2020-27020)が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている。
発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。
カスペルスキーの対応
Advisory issued on April 27, 2021
Description
Kaspersky has fixed a security issue in Kaspersky Password Manager product for several platforms (CVE-2020-27020). Password generator was not completely cryptographically strong and potentially allowed an attacker to predict generated passwords in some cases. An attacker would need to know some additional information (for example, time of password generation).
All public versions of Kaspersky Password Manager liable to this issue now have a new logic of password generation and a passwords update alert for cases when a generated password is probably not strong enough.List of Advisories
Description
Kaspersky has fixed a security issue in Kaspersky Password Manager product for several platforms (CVE-2020-27020). Password generator was not completely cryptographically strong and potentially allowed an attacker to predict generated passwords in some cases. An attacker would need to know some additional information (for example, time of password generation).
All public versions of Kaspersky Password Manager liable to this issue now have a new logic of password generation and a passwords update alert for cases when a generated password is probably not strong enough.List of Advisories
DeepL
アドバイザリー発行日:2021年4月27日説明
カスペルスキーは、いくつかのプラットフォーム向けの Kaspersky Password Manager 製品のセキュリティ問題 (CVE-2020-27020) を修正しました。パスワードジェネレーターの暗号強度が完全ではなく、場合によっては攻撃者が生成されたパスワードを予測できる可能性がありました。攻撃者は、いくつかの追加情報(例えば、パスワード生成の時間)を知る必要があります。
この問題に該当するKaspersky Password Managerのすべての公開バージョンでは、パスワード生成の新しいロジックと、生成されたパスワードが十分な強度を持たない可能性がある場合のパスワード更新アラートが用意されています。
修正済み
セキュリティソリューションをウリにする会社のパスワード生成アプリケーションが「ハリボテだった」という事実に驚きますが、顛末を公開し修正プログラムをリリースしたことは、ユーザーにとってはいいことです。当たり前だけど...
開発元がロシアなので、「ワザト」なのか「バグ」なのか「市場調査なのか」、はたまた「バレるまでの実験」なのかはわかりませんが印象は悪いですね。
まとめ
- カスペルスキー製パスワードマネージャーは役に立たない時期があったことが判明した
- 修正プログラムリリース済み
- ユーザーは最新プログラムにアップデートすることが推奨されている
External link
Bug の記事 (Articles about the Bug)
- 【バグ】TVerRec 3.4.2 のリネーム処理不具合とその原因を考察
- 【解決済】Android Gmailアプリが強制終了!メールが見れない時の対処法
- 【Bug】Windows プリンター ポートが見つからない時の対策
- 【Bug】Pixcel 8aデータ移行の不具合、使用不能(らしい)
- [バグ?] Pixel 6a ホーム画面から天気アイコンが消える (回復方法あり)
- [KB4487044:B] 17763.316 元号解析ができなくなる 2019年2月13日
- KB4480116 をアンインストールする方法
- CCleanerのアンインストール機能にバグ!?
- (終息)Google アプリのリンクが強制的にChromeで開くバグ発生中!
- QTTabBar v1042 は高DPIに対応済み(設定画面が正常に)
- Bug ラベルの記事(要約付)
- russia が含まれる記事(要約付)
新着順 (New arrival order)
- 「アダルトサイト動画公開」詐欺メールに注意!あなたのネットリテラシーは大丈夫?
- 【大阪】「ヒョウ柄ばっかちゃうねん!」リアル大阪人図鑑
- 【Thunderbird】ESR → Release へ移行する方法と注意点
- 【Pixel/2025年5月】アンチロールバックの実装、ゼロデイ脆弱性(CVE-2025-27363)
- 【初心者向け】Windows/AndroidでDoHを設定してセキュリティを高める方法
- まだ間に合う!ChromeでuBlock Originを使うための最終手段
- 【新ルール】クイーン白玲(通算5期)で四段昇段!将棋界に激震走る
- 【最速情報】Google Pixel 9a 日本発売!気になる価格とスペックまとめ
- 【Pixel 4月/2025】生体認証、カメラ、ディスプレイ、UIの修正【Android 15】
- 【2024年度】藤井七冠(最優秀棋士)、羽生九段、会長辞任はタイトル100期への伏線か?
タイトル:カスペルスキー製パスワードマネージャー、同じパスワードを生成(修正済み):SC2
このサイトを検索 | Search this site
0 コメント