カスペルスキー製パスワードマネージャー、同じパスワードを生成(修正済み)
魚拓です。
ネタ元: スラド セキュリティ
https://security.srad.jp/story/21/07/11/1713232/カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 | スラド セキュリティ
カスペルスキー製パスワードマネージャー「Kaspersky Password Manager(KPM)」に脆弱性が見つかり、新たにCVE-ID(CVE-2020-27020)が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている。
発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。
カスペルスキーの対応
Advisory issued on April 27, 2021
Description
Kaspersky has fixed a security issue in Kaspersky Password Manager product for several platforms (CVE-2020-27020). Password generator was not completely cryptographically strong and potentially allowed an attacker to predict generated passwords in some cases. An attacker would need to know some additional information (for example, time of password generation).
All public versions of Kaspersky Password Manager liable to this issue now have a new logic of password generation and a passwords update alert for cases when a generated password is probably not strong enough.List of Advisories
Description
Kaspersky has fixed a security issue in Kaspersky Password Manager product for several platforms (CVE-2020-27020). Password generator was not completely cryptographically strong and potentially allowed an attacker to predict generated passwords in some cases. An attacker would need to know some additional information (for example, time of password generation).
All public versions of Kaspersky Password Manager liable to this issue now have a new logic of password generation and a passwords update alert for cases when a generated password is probably not strong enough.List of Advisories
DeepL
アドバイザリー発行日:2021年4月27日説明
カスペルスキーは、いくつかのプラットフォーム向けの Kaspersky Password Manager 製品のセキュリティ問題 (CVE-2020-27020) を修正しました。パスワードジェネレーターの暗号強度が完全ではなく、場合によっては攻撃者が生成されたパスワードを予測できる可能性がありました。攻撃者は、いくつかの追加情報(例えば、パスワード生成の時間)を知る必要があります。
この問題に該当するKaspersky Password Managerのすべての公開バージョンでは、パスワード生成の新しいロジックと、生成されたパスワードが十分な強度を持たない可能性がある場合のパスワード更新アラートが用意されています。
修正済み
セキュリティソリューションをウリにする会社のパスワード生成アプリケーションが「ハリボテだった」という事実に驚きますが、顛末を公開し修正プログラムをリリースしたことは、ユーザーにとってはいいことです。当たり前だけど...
開発元がロシアなので、「ワザト」なのか「バグ」なのか「市場調査なのか」、はたまた「バレるまでの実験」なのかはわかりませんが印象は悪いですね。
まとめ
- カスペルスキー製パスワードマネージャーは役に立たない時期があったことが判明した
- 修正プログラムリリース済み
- ユーザーは最新プログラムにアップデートすることが推奨されている
External link
kaspersky の記事 (Articles about the kaspersky)
新着順 (New arrival order)
- Intel(R) ME Firmware Ver.11.8.97.4739(2025年6月3日)【vaio】
- 【Clibor】行頭に連番を挿入する方法【New!】
- 【ブログ執筆者必見】Cliborでテキスト整形をマスター!コピペ効率を劇的に上げる方法
- 吉田栄作と織田裕二:キャリアパスの分岐と戦略的選択の分析
- 【Pixel 9a/6a】ホーム画面のお天気アイコンが消える原因と対処方法
- 「アダルトサイト動画公開」詐欺メールに注意!あなたのネットリテラシーは大丈夫?
- 【大阪】「ヒョウ柄ばっかちゃうねん!」リアル大阪人図鑑
- 【Thunderbird】ESR → Release へ移行する方法と注意点
- 【Pixel/2025年5月】アンチロールバックの実装、ゼロデイ脆弱性(CVE-2025-27363)
- 【初心者向け】Windows/AndroidでDoHを設定してセキュリティを高める方法
タイトル:カスペルスキー製パスワードマネージャー、同じパスワードを生成(修正済み):SC2
このサイトを検索 | Search this site
![[EventId 134] time.windows.com のDNS解決エラーは単に輻輳しているだけ](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiN6dqRB2WfXdfAKB10FDjdJ2p22frW5ahcNd07xf7-Dux9uDfiM1RGf7v6iO-QRooVfr3FsZNkpRKcO8Or0JcmQeJ5ud_ns3dfE7tQwoVZB2bsZbTKUaxVjG_CqSTho3hre6kT7T4mOBGz/w680/redyellow_317x.gif)
ブロトピ:今日のブログ更新){kind=link}
0 コメント