以下の製品で、ファームウェアバージョンが 4.5.2 より前のもの WF-1000X WF-SP700N WH-1000XM2 WH-1000XM3 WH-CH700N WH-H900N WH-XB700 WH-XB900N WI-1000X WI-C600N WI-SP600N
JVN#67447798: 複数のソニー製 Bluetooth ヘッドホンにおける Bluetooth ペアリング処理の脆弱性
以下の製品で、ファームウェアバージョンが 4.5.2 より前のもの WF-1000X WF-SP700N WH-1000XM2 WH-1000XM3 WH-CH700N WH-H900N WH-XB700 WH-XB900N WI-1000X WI-C600N WI-SP600N
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
JVN#37288228 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性 SoftBank Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン 株式会社NTTドコモ Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン KDDI株式会社 Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
JVN#27137002: Android アプリ「IIJ SmartKey」における認証不備の脆弱性
株式会社インターネットイニシアティブが提供する Android アプリ「IIJ SmartKey」は、Android デバイスを用いてウェブサイトへの二段階認証 (二要素認証) を行うためのアプリケーションです。Android アプリ「IIJ SmartKey」には、認証不備 (CWE-287) の脆弱性が存在します。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 なお開発者は、当該製品を速やかにバージョン 2.1.1 以降へアップデートすることを推奨しています。 ワークアラウンドを実施する 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 Android OS 標準の画面ロック機能を利用する
JVN#11448789: 安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性
独立行政法人情報処理推進機構 (IPA) が提供する安全なウェブサイト運営入門には、セーブデータの読み込み処理に起因する OS コマンドインジェクション (CWE-78) の脆弱性が存在します。
JVNVU#98667810: OpenSSL に複数の脆弱性
OpenSSL 1.1.0a より前のバージョン OpenSSL 1.0.2i より前のバージョン OpenSSL 1.0.1u より前のバージョン OpenSSL は、次の複数の脆弱性および処理を修正したアップデートをリリースしました。 OCSP Status Request にサービス運用妨害 (DoS) - CVE-2016-6304 (重要度:高) SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS) - CVE-2016-6305 (重要度:中) ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策 - CVE-2016-2183 (重要度:低) MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー - CVE-2016-6303 (重要度:低) SHA512 を使用した不正な形式の TLS セッ
JVN#85213412: 有限会社AKABEi SOFT2 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性
JVN#85213412 有限会社AKABEi SOFT2 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性
JVN#51565015: LINE PC版(Windows版)における DLL 読み込みに関する脆弱性
LINE PC版(Windows版) ver 4.7.0 およびそれ以前 LINE PC版(Windows版) インストーラ ver 4.8.0 およびそれ以前 [2016年8月19日 追記] 本脆弱性への対策版として 2016年7月8日に公表した LINE PC版(Windows版) インストーラ (ver 4.8.0) は対応が不十分であったため、再修正されています。 LINE株式会社が提供する LINE PC版(Windows版)は、ファイルを開く際に、特定の DLL を読み込みます。LINE PC版(Windows版)には、複数の機能において DLL を読み込む際の検索パスに問題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。
JVN#00324715: Electron における Node モジュール読み込みに関する問題
Electron には、Node モジュール読み込みのパスを適切に制限していない問題が存在します。その結果、任意の JavaScript を実行される可能性があります。 Electron は、HTML、CSS、JavaScript with Chromium や Node.js のようなウェブテクノロジを使ったクロスプラットフォームのデスクトップアプリケーションを開発するためのソフトウエアフレームワークです。Electron は、Atom エディタ、Microsoft Visual Studio Code などのアプリケーションで利用されています。Electron には、Node モジュールを読み込む際の検索パスに問題があります。この問題は、require 関数の処理を行う際、モジュールが存在するディレクトリの親ディレクトリをすべて検索パスに加えてしまうことに起因しています。攻撃者によって
JVN#80144272: TYPE-MOON 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性
TYPE-MOON が提供する複数のゲーム製品には、OS コマンドインジェクションの脆弱性が存在します。 Fate/stay night (CD版、DVD版) Fate/hollow ataraxia 魔法使いの夜 Fate/stay night + hollow ataraxia (セット版)
JVN#84982142: 島根県CMS における SQL インジェクションの脆弱性
島根県CMS バージョン 2.0.0 開発者によると、島根県CMS バージョン 1 系は本脆弱性の影響を受けないとのことです。
JVNVU#98282440: 「提督業も忙しい!」(KanColleViewer) がオープンプロキシとして動作する問題
JVNVU#98282440 「提督業も忙しい!」(KanColleViewer) がオープンプロキシとして動作する問題 オンラインゲーム用ユーティリティツール KanColleViewer は、Fiddler Core と呼ばれる HTTP プロキシライブラリを使い、クライアントとゲームサーバ間で行われる HTTPS 通信の内容をキャプチャしています。 Fiddler.FiddlerApplication.Startup() メソッドの呼出しにおいて、localhost 以外のホストからの接続を拒否するフラグの指定を明示的に行っていないため、当該製品が意図せずオープンプロキシとして動作する問題が存在します (CWE-441)。 なお、当該製品が使用する 37564/TCP に対するスキャン活動が観測されています。
JVNVU#92002857: 複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題
複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメインの管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。 本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#591120 の Vendor Information に掲載されている情報を参照してください。 Vendor Information for VU#591120 で "Affected" と記載されているのは、メールアドレスをもって申請者がドメインの所有者であることを確認する「ドメイン認証型 ("domain-authenticated")」の SSL 証明書を発行している
JVN#41281927: LINE における意図しないアプリ内関数が呼び出される脆弱性
Android 版 LINE バージョン 5.0.2 およびそれ以前iOS 版 LINE バージョン 5.0.0 およびそれ以前 LINE株式会社が提供する LINE は、コミュニケーションアプリです。LINE は、WebView 上の通信の一部で SSL/TLS を使わない HTTP 通信を許可しているため、中間者攻撃により通信内容を改ざんされた場合、意図しないアプリ内関数が呼び出される等の可能性があります。 中間者攻撃 (man-in-the-middle attack) によって通信内容を改ざんされ、不正な JavaScript コードが実行される可能性があります。結果として、意図しないアプリ内関数が呼び出される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は次のように述べています: サーバー側での修正が完了していますが
JVNVU#99125992: SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。このようなソフトウエアに対して中間者攻撃 (man-in-the-middle attack) が行われると、暗号化に使われている鍵を解読され、SSL/TLS トラフィックの内容を復号される可能性があります。これは「FREAK 攻撃」とも呼ばれています。 アルゴリズムのダウングレード (CWE-757) 不適切な暗号強度 (CWE-326) SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。このようなソフトウエアに対して中間者攻撃が行われた場合、通信開始時のネゴシエーションにおいて弱い鍵を使うように誘導され、結果として、暗号化された情報を復号される可能性があります。 発見
JVN#24909891: Android 版 拡散性ミリオンアーサーにおける情報管理不備の脆弱性
株式会社スクウェア・エニックスが提供する Android 版 拡散性ミリオンアーサーには、情報管理不備の脆弱性が存在します。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#77753476: iOSアプリ「はてなブックマーク」におけるアドレスバー偽装の脆弱性
JVN#94816361: 夜フクロウにおけるサービス運用妨害 (DoS) の脆弱性
JVN#48847535: 企業向けウイルスバスター製品における複数の脆弱性
JVN#08494613: NScripter におけるバッファオーバーフローの脆弱性
JVN#91016415: まろやかリレー小説におけるクロスサイトスクリプティングの脆弱性