| タイトル | Metromile Pulse などの製品で使用される Mobile Devices C4 OBD-II Dongle ファームウェアにおける任意のコードを実行される脆弱性 |
|---|---|
| 概要 | ** 未確定 ** 本件は、脆弱性として確定していません。 Metromile Pulse およびその他の製品で使用される Mobile Devices (別名 MDI) C4 OBD-II Dongle ファームウェアは、ファームウェアのアップデートを検証しないため、任意のコードを実行される脆弱性が存在します。 なお、ベンダは、「(1) これは開発者用 / デバッグ用デバイスにおける不具合で、一般顧客向けデバイスでは 3年前に修正されている。開発者向けバージョンではローカル接続が有効となっている (2) この問題は、SMS が有効な場合、もしくは 3年以上前の古いソフトウェアでのみ発生する」との声明を発表しています。 補足情報 : CWE による脆弱性タイプは、CWE-345: Insufficient Verification of Data Authenticity (データの信頼性についての不十分な検証) と識別されています。 http://cwe.mitre.org/data/definitions/345.html |
| 想定される影響 | 第三者により、アップデートサーバを特定されることで、任意のコードを実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2015年8月11日0:00 |
| 登録日 | 2015年8月26日15:38 |
| 最終更新日 | 2015年8月26日15:38 |
| CVSS2.0 : 危険 | |
| スコア | 9 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:C/I:C/A:C |
| Mobile Devices |
| C4 OBD2 Dongle ファームウェア 2.x |
| C4 OBD2 Dongle ファームウェア 3.4.x |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年08月26日] 掲載 |
2018年2月17日10:37 |
| 概要 | Mobile Devices (aka MDI) C4 OBD-II dongles with firmware 2.x and 3.4.x, as used in Metromile Pulse and other products, do not validate firmware updates, which allows remote attackers to execute arbitrary code by specifying an update server. |
|---|---|
| 公表日 | 2015年8月24日6:59 |
| 登録日 | 2021年1月26日14:48 |
| 最終更新日 | 2024年11月21日11:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:mobile_devices:c4_obd-ii_dongle_firmware:*:*:*:*:*:*:*:* | 3.4 | ||||