| タイトル | Adtrustmedia PrivDog に SSL サーバ証明書の検証不備の脆弱性 |
|---|---|
| 概要 | Adtrustmedia が提供する PrivDog には SSL サーバ証明書の検証不備の脆弱性が存在します。 Adtrustmedia が提供する PrivDog は、Man-in-the-Middle (MITM) プロキシをインストールすると同時に、ルート CA 証明書を新規インストールします。MITM プロキシ機能は NetFilter SDK を使って実装されています。ルート CA 証明書はプログラムのインストールの際に生成されるため、インストール毎に異なる証明書が発行されますが、PrivDog は NetFilter SDK の SSL サーバ証明書の検証機能を使用していません。そのため、スプーフィングされた、または MITM プロキシ経由の HTTPS アクセスであっても、ウェブブラウザは警告を表示しません。 NetFilter SDK http://netfiltersdk.com/ |
| 想定される影響 | サーバ証明書に関してウェブブラウザの警告が出力されず、偽装されたウェブサイトに HTTPS 通信を行ったり、HTTPS 通信の内容を傍受されたりする可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は PrivDog 3.0.105.0 で修正されています。 [Privdog をアンインストールする] Privdog をアンインストールすることで、MITM プロキシとルート CA 証明書が削除され、SSL サーバ証明書の検証が行われるようになります。 |
| 公表日 | 2015年2月23日0:00 |
| 登録日 | 2015年2月25日15:53 |
| 最終更新日 | 2015年2月25日15:53 |
| CVSS2.0 : 危険 | |
| スコア | 8.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:C/I:P/A:N |
| Adtrustmedia, LLC. |
| PrivDog 3.0.96.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年02月25日] 掲載 |
2018年2月17日10:37 |