Android版「ヨドバシ」アプリに、複数の脆弱性 | RBB TODAY

Android版「ヨドバシ」アプリに、複数の脆弱性

ブロードバンド セキュリティ

JVN#70465405の脆弱性分析結果(CVSS Base Metrics)
  • JVN#70465405の脆弱性分析結果(CVSS Base Metrics)
  • JVN#29053368の脆弱性分析結果(CVSS Base Metrics)
 IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は7日、ヨドバシカメラが提供するAndroid版アプリ「ヨドバシ」に複数の脆弱性が存在することを、脆弱性対策情報ポータルサイト「JVN」において公表した。

 今回公表されたのは、「細工されたウェブページを閲覧することで、任意のJavaのメソッドが実行される脆弱性(JVN#70465405)」「SSLサーバ証明書の検証不備の脆弱性(JVN#29053368)」の2つ。

 細工されたウェブページを閲覧することで、Javaのメソッドが実行された場合は、Android端末の情報が窃取されたり、任意のOSコマンドが実行されたりする可能性がある。またSSLサーバ証明書の検証不備を悪用された場合、中間者攻撃(man-in-the-middle attack) による暗号通信の盗聴などが行われる可能性がある。

 対象となるバージョンは、1.2.1.0 およびそれ以前。最新版のアプリにアップデートすることで、いずれの脆弱性も解消されるとのこと。
《冨岡晶》

関連ニュース

特集

page top