JVNDB-2011-000028 - JVN iPedia - 脆弱性対策情報データベース(情報元のブックマーク数)
辻さんキタ━━━━(゜∀゜)━━━━ッ!!
最新バージョンへのアップデートで回避?!らしい。
ウイルスバスター2009 には、キー入力暗号化機能に関する脆弱性が存在します。
JVNDB-2011-000028 - JVN iPedia - 脆弱性対策情報データベース
ウイルスバスター2009 には、キー入力暗号化機能を利用している場合においても、ユーザのウェブブラウザ上でキー入力されたパスワードの一部が暗号化されない脆弱性が存在します。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: NTTデータ・セキュリティ株式会社 辻伸弘 氏
2008年09月末(発売後すぐ)に報告して、公表が2年8か月後か・・・
届出を行ったのは
2008年9月30日(火)です。
届出から公表まで2年8ヶ月ほどですね。ウイルスバスター2009の発売が
2008年9月19日(金)
サポートの終了が
2010年12月31日(金)
ですので、この脆弱性は製品のサポート期間の殆どにおいて
一部関係者の間では存在が明らかになっていたということになります。ボクの届出内容がうまく伝わっていなかったのか。
調整に時間がかかってしまったのか。
対応できない已むに已まれぬ理由があったのか。なぜ、公表まで長い時間がかかったのかは
ボクから見える範囲だけでは判断できません。ただ、結果的にちょっぴり残念な事実としてここに残しておきます。
http://n.pentest.jp/?p=986
トレンドマイクロは、ウイルスバスター2010以降の製品ではTrend ツールバーに別のモジュールを使用しているため、この問題の影響を受けないとしている。ウイルスバスター2009の製品サポートは既に終了しており、同社ではユーザーにウイルスバスター2010以降の製品を利用するよう呼び掛けている。
ウイルスバスター2009に一部パスワードが暗号化されない脆弱性 - ITmedia エンタープライズ