製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Lenovo 製品で使用される Lenovo Ultraslim ドングルのファームウェアにおける暗号化されたキーボード入力をシステムに挿入される脆弱性

タイトル	複数の Lenovo 製品で使用される Lenovo Ultraslim ドングルのファームウェアにおける暗号化されたキーボード入力をシステムに挿入される脆弱性
概要	複数の Lenovo キーボードおよびマウス製品で使用される Lenovo Ultraslim ドングルのファームウェアは、AES カウンタのインクリメントを適用しないため、暗号化されたキーボード入力をシステムに挿入される脆弱性が存在します。本脆弱性は、"KeyJack インジェクション攻撃" と呼ばれています。
想定される影響	第三者により、ドングルの操作を利用されることで、暗号化されたキーボード入力をシステムに挿入される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年7月27日0:00
登録日	2016年8月9日11:42
最終更新日	2016年8月9日11:42

影響を受けるシステム

Lenovo

Ultraslim ドングル

Ultraslim ドングルファームウェア

Ultraslim ワイヤレスキーボード

デル

Dell KM632 USB ドングル

Dell KM632 USB ドングルファームウェア

Dell KM632 ワイヤレスマウス

Dell KM714 USB ドングル

Dell KM714 USB ドングルファームウェア

Dell KM714 ワイヤレスキーボード&マウス

Logitech

Logitech Unifying ドングル

Logitech Unifying ドングルファームウェア

AmazonBasics

AmazonBasics USB ドングル

AmazonBasics USB ドングルファームウェア

AmazonBasics ワイヤレスキーボード

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-6257	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6257
National Vulnerability Database (NVD)
2	CVE-2016-6257	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6257

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
Lenovo Security Advisory
1	LEN-7267	https://support.lenovo.com/jp/ja/product_security/len_7267
Logitech
2	Logitech Response to Unifying Receiver/G900 Mouse Research Findings	https://community.logitech.com/s/question/0D531000058b3B7CAI

その他

No	名前	URL
関連文書
1	Bastille Networks Internet Security : KeyJack	https://www.bastille.net/research/vulnerabilities/keyjack
2	bastille-13.amazon-basics.public.txt	https://github.com/BastilleResearch/keyjack/blob/master/doc/advisories/bastille-13.amazon-basics.public.txt
3	bastille-13.dell-km632.public.txt	https://github.com/BastilleResearch/keyjack/blob/master/doc/advisories/bastille-13.dell-km632.public.txt
4	bastille-13.dell-km714.public.txt	https://github.com/BastilleResearch/keyjack/blob/master/doc/advisories/bastille-13.dell-km714.public.txt
5	bastille-13.lenovo-ultraslim.public.txt	https://github.com/BastilleResearch/keyjack/blob/master/doc/advisories/bastille-13.lenovo-ultraslim.public.txt
6	bastille-13.logitech.public.txt	https://github.com/BastilleResearch/keyjack/blob/master/doc/advisories/bastille-13.logitech.public.txt

変更履歴

No	変更内容	変更日
0	[2016年08月09日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-6257

概要	The firmware in Lenovo Ultraslim dongles, as used with Lenovo Liteon SK-8861, Ultraslim Wireless, and Silver Silk keyboards and Liteon ZTM600 and Ultraslim Wireless mice, does not enforce incrementing AES counters, which allows remote attackers to inject encrypted keyboard input into the system by leveraging proximity to the dongle, aka a "KeyJack injection attack."
公表日	2016年8月2日23:59
登録日	2021年1月26日14:15
最終更新日	2024年11月21日11:55

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:amazonbasics:firmware:-:::::::*
実行環境
1	cpe:2.3:h:amazonbasics:usb_dongle:-:::::::*
2	cpe:2.3:h:amazonbasics:wireless_keyboard:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:dell:km714_firmware::::::::			012.005.00028
実行環境
1	cpe:2.3:h:dell:km714_dongle:-:::::::*
2	cpe:2.3:h:dell:km714_wireless_keyboard:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:dell:km632_firmware:-:::::::*
実行環境
1	cpe:2.3:h:dell:km632_dongle:-:::::::*
2	cpe:2.3:h:dell:km632_wireless_keyboard:-:::::::*

構成4		以上	以下	より上	未満
cpe:2.3:o:logitech:unifying_firmware::::::::			012.005.00028
cpe:2.3:o:logitech:unifying_firmware::::::::			024.003.00027
実行環境
1	cpe:2.3:h:logitech:unifying_dongle:-:::::::*

構成5		以上	以下	より上	未満
cpe:2.3:o:lenovo:ultraslim_firmware:-:::::::*
実行環境
1	cpe:2.3:h:lenovo:ultraslim_dongle:-:::::::*
2	cpe:2.3:h:lenovo:ultraslim_wireless_keyboard:-:::::::*

No	URL	タグ
1	http://www.securityfocus.com/bid/92179	Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/92179	Third Party Advisory VDB Entry
3	https://github.com/BastilleResearch/keyjack/blob/master/doc/advisories/bastille-13.lenovo-ultraslim.public.txt	Third Party Advisory
4	https://github.com/BastilleResearch/keyjack/blob/master/doc/advisories/bastille-13.lenovo-ultraslim.public.txt	Third Party Advisory
5	https://support.lenovo.com/product_security/len_7267	Vendor Advisory
6	https://support.lenovo.com/product_security/len_7267	Vendor Advisory
7	https://www.bastille.net/research/vulnerabilities/keyjack	Third Party Advisory
8	https://www.bastille.net/research/vulnerabilities/keyjack	Third Party Advisory