| 概要 | Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2015-4640, CVE-2015-4641. Reason: this ID was intended for one issue, but was associated with two issues. Notes: All CVE users should consult CVE-2015-4640 and CVE-2015-4641 to identify the ID or IDs of interest. All references and descriptions in this candidate have been removed to prevent accidental usage |
|---|---|
| 公表日 | 2015年6月19日23:59 |
| 登録日 | 2021年1月26日14:48 |
| 最終更新日 | 2023年11月7日11:25 |
| タイトル | ** 削除 ** Samsung Galaxy S にプリインストールされた Swiftkey が言語パックのアップデートを正しく検証しない脆弱性 |
|---|---|
| 概要 | ** 削除 ** 本案件は、CVE-2015-4640 および CWE-2015-4641 に分割されたことを受け削除されました。 CVE-2015-4640 および CWE-2015-4641 を参照してください。 Samsung Galaxy S にプリインストールされている、Swiftkey SDK を用いたキーボード機能には、言語パックのアップデートを正しく検証しない脆弱性が存在します。 データの信頼性についての不十分な検証 (CWE-345) - CVE-2015-2865 Samsung Galaxy S には Swiftkey SDK を用いたキーボード機能がプリインストールされています。このキーボード機能には Samsung の署名がなされており、システム権限で動作します。このキーボード機能は言語パックのアップデートを定期的に確認しますが、通信は HTTP 経由で行われています。中間者攻撃によって通信内容を改ざんされると、当該機器への任意のデータ書き込みに悪用される可能性があります。 CWE-345: Insufficient Verification of Data Authenticity http://cwe.mitre.org/data/definitions/345.html |
| 想定される影響 | 遠隔の第三者による中間者 (man-in-the-middle) 攻撃によって、当該機器に任意のデータを書き込まれる可能性があります。ただし Swiftkey によるアップデートの確認頻度を考慮すると、このような攻撃が可能になる確率は低いと考えられます。 |
| 対策 | [アップデートする] Samsung は、通信キャリアに対してファームウェアアップデートを提供しています。 通信キャリアが提供するファームウェアアップデートを適用してください。 当該機器のファームウェアアップデートが提供されていない場合、次のワークアラウンドの適用を検討してください。 [信頼できないネットワークを使用しない] Wi-Fi サービスなど、信頼できないネットワークの使用は、中間者攻撃を受ける機会を増やすことに繋がります。 |
| 公表日 | 2015年6月16日0:00 |
| 登録日 | 2015年6月18日16:33 |
| 最終更新日 | 2015年6月22日16:30 |
| サムスン |
| Galaxy S4 |
| Galaxy S4 Mini |
| Galaxy S5 |
| Galaxy S6 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年06月18日] 掲載 [2015年06月22日] 概要:内容を更新 ベンダ情報:サムスン (Information Regarding the Keyboard Security Issue and Our Device Policy Update) を追加 [2015年06月25日] 概要に記載の理由により削除扱いに変更 |
2018年2月17日10:37 |