Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

暗号化ソフト「ED」の旧版に解読が容易となる脆弱性

Type74 Softwareが提供する暗号化ソフト「ED」の旧版において、解読が容易となる脆弱性「CVE-2015-2987」が含まれていることがわかった。2011年2月に公開された「同4.0」以降は影響を受けない。

脆弱性情報のポータルサイトであるJVNによれば、「同4.0」未満のバージョンにおいて、16バイト未満のファイルを暗号化する場合、「ECBモードをキー生成部において組み合わせたストリーム暗号」を利用するため、解読が比較的容易になるという。ただし、16バイト以上のファイルを暗号化する場合は、バージョンに関係なく、脆弱性の影響は受けない。

同脆弱性は、澤田豊氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。

「同4.0」以降のバージョンでは脆弱性が修正されており、開発者も「同4.0」公開当時時より仕様変更へ言及し、「同3.4」以下のバージョンには差分攻撃により解読されるリスクがあるとして、必要に応じてアップデートするよう利用者へアナウンスを行っていた。

(Security NEXT - 2015/08/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「macOS Mojave 10.14.3」向けに補完的なアップデート
「Adobe Reader」に未修正の脆弱性 - 「NTLMハッシュ」窃取のおそれ
「MS Exchange 2013」以降に脆弱性「PrivExchange」 - ドメイン管理者権限奪われるおそれも
「グループFaceTime」脆弱性も修正された「iOS 12.1.4」がリリース
「runc」に脆弱性、コンテナからホスト管理者権限でコード実行されるおそれ
「Adobe Acrobat/Reader」のアップデートが準備中 - 12日公開予定
Marvell製チップに脆弱性 - Wi-Fi経由でコード実行や盗聴のおそれ
「McAfee DXL」に複数の脆弱性 - サービス拒否や情報漏洩のおそれ
「Linux」狙う新種マルウェア「SpeakUp」 - 多くの製品で検知すり抜け
「Exchange Server」の深刻な脆弱性、MSがアップデートを開発中