CVE-2017-3182
| Summary |
On the iOS platform, the ThreatMetrix SDK versions prior to 3.2 fail to validate SSL certificates provided by HTTPS connections, which may allow an attacker to perform a man-in-the-middle (MITM) attack. ThreatMetrix is a security library for mobile applications, which aims to provide fraud prevention and device identity capabilities. The ThreatMetrix SDK versions prior to 3.2 do not validate SSL certificates on the iOS platform. An affected application will communicate with https://h-sdk.online-metrix.net, regardless of whether the connection is secure or not. An attacker on the same network as or upstream from the iOS device may be able to view or modify ThreatMetrix network traffic that should have been protected by HTTPS.
|
| Publication Date |
July 25, 2018, 12:29 a.m. |
| Registration Date |
Jan. 26, 2021, 1:23 p.m. |
| Last Update |
Nov. 21, 2024, 12:24 p.m. |
|
CVSS3.0 : MEDIUM
|
| スコア |
6.8
|
| Vector |
CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| 攻撃元区分(AV) |
隣接 |
| 攻撃条件の複雑さ(AC) |
高 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
なし |
|
CVSS2.0 : MEDIUM
|
| Score |
4.3
|
| Vector |
AV:A/AC:M/Au:N/C:P/I:P/A:N |
| 攻撃元区分(AV) |
隣接 |
| 攻撃条件の複雑さ(AC) |
中 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
なし |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
いいえ
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:threatmetrix:threatmetrix_sdk:*:*:*:*:*:iphone_os:*:* |
|
|
|
3.2 |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性
| Title |
iOS 用 ThreatMetrix SDK に SSL サーバ証明書の検証不備の脆弱性
|
| Summary |
ThreatMetrix SDK は iOS プラットフォームにおいて、HTTPS 通信で使用される SSL サーバ証明書を検証しないため、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。 ThreatMetrix は、モバイルアプリケーションにセキュリティ関連の機能を提供するライブラリです。ThreatMetrix SDK は iOS プラットフォームにおいて、HTTPS 通信で使用される SSL サーバ証明書を検証しません。
|
| Possible impacts |
iOS デバイスと同一ネットワーク上または通信経路上に位置する攻撃者によって、ThreatMetrix が扱う HTTPS トラフィックの内容を取得されたり改ざんされたりする可能性があります。 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 この問題は、ThreatMetrix SDK 3.2 で修正されています。修正される前のバージョンを使用して作成された iOS アプリケーションは、修正済みバージョンのライブラリを組み込んで作成し直してください。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * 公共 Wi-Fi を含め、信頼できないネットワークに接続しない |
| Publication Date |
Jan. 10, 2017, midnight |
| Registration Date |
Jan. 12, 2017, 11 a.m. |
| Last Update |
July 24, 2019, 2:14 p.m. |
Affected System
| ThreatMetrix |
|
ThreatMetrix SDK 3.2 より前のバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2017年01月12日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
| 1 |
[2019年07月24日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3182) を追加 |
July 24, 2019, 2:13 p.m. |