製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Windows Mobile などで使用される Microsoft ActiveSync におけるPIN/Password を解読される脆弱性

タイトル	Windows Mobile などで使用される Microsoft ActiveSync におけるPIN/Password を解読される脆弱性
概要	Windows Mobile などで使用される Microsoft ActiveSync は、デバイスへホストから USB 接続を経由してユーザの PIN/Password を送信している際、ユーザの弱体化した暗号化 (固定鍵を持つ XOR 難読化) 使用するため、PIN/Password を解読される脆弱性が存在します。
想定される影響	攻撃者により、ドッキング処理を (1) 傍受または (2) 偽装されることで、取得された PIN/Password を解読される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2007年10月15日0:00
登録日	2012年9月25日16:59
最終更新日	2012年9月25日16:59

CVSS2.0 : 危険
スコア	7.1
ベクター	AV:N/AC:M/Au:N/C:C/I:N/A:N

影響を受けるシステム

マイクロソフト

activesync 4.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-5460	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5460
National Vulnerability Database (NVD)
2	CVE-2007-5460	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-5460

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
Microsoft
1	ActiveSync	http://www.microsoft.com/windowsphone/ja-jp/default.aspx

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-5460

概要	Microsoft ActiveSync 4.1, as used in Windows Mobile 5.0, uses weak encryption (XOR obfuscation with a fixed key) when sending the user's PIN/Password over the USB connection from the host to the device, which might make it easier for attackers to decode a PIN/Password obtained by (1) sniffing or (2) spoofing the docking process.
概要	Microsoft ActiveSync versión 4.1, como es usado en Windows Mobile versión 5.0, utiliza un cifrado débil (ofuscación XOR con una clave fija) cuando se envía el PIN y Contraseña del usuario por medio de la conexión USB desde el host hacia el dispositivo, lo que podría facilitar a atacantes decodificar un PIN y Contraseña obtenida al (1) espiar o (2) falsificar el proceso de acoplamiento.
公表日	2007年10月16日7:17
登録日	2021年1月29日14:22
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満

構成2		以上	以下	より上	未満
cpe:2.3:o:microsoft:windows_mobile:5.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://osvdb.org/38499	cve@mitre.org
2	http://securityreason.com/securityalert/3232	cve@mitre.org
3	http://www.securityfocus.com/archive/1/482299/100/0/threaded	cve@mitre.org
4	http://www.securityfocus.com/bid/25976	cve@mitre.org
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/37223	cve@mitre.org
6	http://osvdb.org/38499	af854a3a-2127-422b-91ae-364da2661108
7	http://securityreason.com/securityalert/3232	af854a3a-2127-422b-91ae-364da2661108
8	http://www.securityfocus.com/archive/1/482299/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
9	http://www.securityfocus.com/bid/25976	af854a3a-2127-422b-91ae-364da2661108
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/37223	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-327	不完全、または危険な暗号アルゴリズムの使用	https://cwe.mitre.org/data/definitions/327.html