** 削除 ** 本案件は、CVE-2015-4640 および CWE-2015-4641 に分割されたことを受け削除されました。 CVE-2015-4640 および CWE-2015-4641 を参照してください。 Samsung Galaxy S にプリインストールされている、Swiftkey SDK を用いたキーボード機能には、言語パックのアップデートを正しく検証しない脆弱性が存在します。 データの信頼性についての不十分な検証 (CWE-345) - CVE-2015-2865 Samsung Galaxy S には Swiftkey SDK を用いたキーボード機能がプリインストールされています。このキーボード機能には Samsung の署名がなされており、システム権限で動作します。このキーボード機能は言語パックのアップデートを定期的に確認しますが、通信は HTTP 経由で行われています。中間者攻撃によって通信内容を改ざんされると、当該機器への任意のデータ書き込みに悪用される可能性があります。 CWE-345: Insufficient Verification of Data Authenticity http://cwe.mitre.org/data/definitions/345.html

[アップデートする] Samsung は、通信キャリアに対してファームウェアアップデートを提供しています。 通信キャリアが提供するファームウェアアップデートを適用してください。 当該機器のファームウェアアップデートが提供されていない場合、次のワークアラウンドの適用を検討してください。 [信頼できないネットワークを使用しない] Wi-Fi サービスなど、信頼できないネットワークの使用は、中間者攻撃を受ける機会を増やすことに繋がります。