製品・ソフトウェアに関する情報

JVN脆弱性詳細

Windows Mobile などで使用される Microsoft ActiveSync におけるPIN/Password を解読される脆弱性

Title	Windows Mobile などで使用される Microsoft ActiveSync におけるPIN/Password を解読される脆弱性
Summary	Windows Mobile などで使用される Microsoft ActiveSync は、デバイスへホストから USB 接続を経由してユーザの PIN/Password を送信している際、ユーザの弱体化した暗号化 (固定鍵を持つ XOR 難読化) 使用するため、PIN/Password を解読される脆弱性が存在します。
Possible impacts	攻撃者により、ドッキング処理を (1) 傍受または (2) 偽装されることで、取得された PIN/Password を解読される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Oct. 15, 2007, midnight
Registration Date	Sept. 25, 2012, 4:59 p.m.
Last Update	Sept. 25, 2012, 4:59 p.m.

Affected System

マイクロソフト

activesync 4.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-5460	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5460
National Vulnerability Database (NVD)
2	CVE-2007-5460	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-5460

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
Microsoft
1	ActiveSync	http://www.microsoft.com/windowsphone/ja-jp/default.aspx

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2007-5460

Summary	Microsoft ActiveSync 4.1, as used in Windows Mobile 5.0, uses weak encryption (XOR obfuscation with a fixed key) when sending the user's PIN/Password over the USB connection from the host to the device, which might make it easier for attackers to decode a PIN/Password obtained by (1) sniffing or (2) spoofing the docking process.
Summary	Microsoft ActiveSync versión 4.1, como es usado en Windows Mobile versión 5.0, utiliza un cifrado débil (ofuscación XOR con una clave fija) cuando se envía el PIN y Contraseña del usuario por medio de la conexión USB desde el host hacia el dispositivo, lo que podría facilitar a atacantes decodificar un PIN y Contraseña obtenida al (1) espiar o (2) falsificar el proceso de acoplamiento.
Publication Date	Oct. 16, 2007, 7:17 a.m.
Registration Date	Jan. 29, 2021, 2:22 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:microsoft:windows_mobile:5.0:::::::*

Related information, measures and tools

No	URL	refsource
1	http://osvdb.org/38499	cve@mitre.org
2	http://securityreason.com/securityalert/3232	cve@mitre.org
3	http://www.securityfocus.com/archive/1/482299/100/0/threaded	cve@mitre.org
4	http://www.securityfocus.com/bid/25976	cve@mitre.org
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/37223	cve@mitre.org
6	http://osvdb.org/38499	af854a3a-2127-422b-91ae-364da2661108
7	http://securityreason.com/securityalert/3232	af854a3a-2127-422b-91ae-364da2661108
8	http://www.securityfocus.com/archive/1/482299/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
9	http://www.securityfocus.com/bid/25976	af854a3a-2127-422b-91ae-364da2661108
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/37223	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-327	不完全、または危険な暗号アルゴリズムの使用	https://cwe.mitre.org/data/definitions/327.html