魚拓です。
ネタ元: スラド セキュリティ
https://security.srad.jp/story/21/07/11/1713232/カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 | スラド セキュリティ
カスペルスキー製パスワードマネージャー「Kaspersky Password Manager(KPM)」に脆弱性が見つかり、新たにCVE-ID(CVE-2020-27020)が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている。
発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。
カスペルスキーの対応
Advisory issued on April 27, 2021
Description
Kaspersky has fixed a security issue in Kaspersky Password Manager product for several platforms (CVE-2020-27020). Password generator was not completely cryptographically strong and potentially allowed an attacker to predict generated passwords in some cases. An attacker would need to know some additional information (for example, time of password generation).
All public versions of Kaspersky Password Manager liable to this issue now have a new logic of password generation and a passwords update alert for cases when a generated password is probably not strong enough.List of Advisories
Description
Kaspersky has fixed a security issue in Kaspersky Password Manager product for several platforms (CVE-2020-27020). Password generator was not completely cryptographically strong and potentially allowed an attacker to predict generated passwords in some cases. An attacker would need to know some additional information (for example, time of password generation).
All public versions of Kaspersky Password Manager liable to this issue now have a new logic of password generation and a passwords update alert for cases when a generated password is probably not strong enough.List of Advisories
DeepL
アドバイザリー発行日:2021年4月27日説明
カスペルスキーは、いくつかのプラットフォーム向けの Kaspersky Password Manager 製品のセキュリティ問題 (CVE-2020-27020) を修正しました。パスワードジェネレーターの暗号強度が完全ではなく、場合によっては攻撃者が生成されたパスワードを予測できる可能性がありました。攻撃者は、いくつかの追加情報(例えば、パスワード生成の時間)を知る必要があります。
この問題に該当するKaspersky Password Managerのすべての公開バージョンでは、パスワード生成の新しいロジックと、生成されたパスワードが十分な強度を持たない可能性がある場合のパスワード更新アラートが用意されています。
修正済み
セキュリティソリューションをウリにする会社のパスワード生成アプリケーションが「ハリボテだった」という事実に驚きますが、顛末を公開し修正プログラムをリリースしたことは、ユーザーにとってはいいことです。当たり前だけど...
開発元がロシアなので、「ワザト」なのか「バグ」なのか「市場調査なのか」、はたまた「バレるまでの実験」なのかはわかりませんが印象は悪いですね。
まとめ
- カスペルスキー製パスワードマネージャーは役に立たない時期があったことが判明した
- 修正プログラムリリース済み
- ユーザーは最新プログラムにアップデートすることが推奨されている
External link
:SC2
このサイトを検索 | Search this site
0 コメント