Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

暗号化ソフト「ED」の旧版に解読が容易となる脆弱性

Type74 Softwareが提供する暗号化ソフト「ED」の旧版において、解読が容易となる脆弱性「CVE-2015-2987」が含まれていることがわかった。2011年2月に公開された「同4.0」以降は影響を受けない。

脆弱性情報のポータルサイトであるJVNによれば、「同4.0」未満のバージョンにおいて、16バイト未満のファイルを暗号化する場合、「ECBモードをキー生成部において組み合わせたストリーム暗号」を利用するため、解読が比較的容易になるという。ただし、16バイト以上のファイルを暗号化する場合は、バージョンに関係なく、脆弱性の影響は受けない。

同脆弱性は、澤田豊氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。

「同4.0」以降のバージョンでは脆弱性が修正されており、開発者も「同4.0」公開当時時より仕様変更へ言及し、「同3.4」以下のバージョンには差分攻撃により解読されるリスクがあるとして、必要に応じてアップデートするよう利用者へアナウンスを行っていた。

(Security NEXT - 2015/08/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、「Foreshadow」対策でアドバイザリ - アップデートや追加対応策の実施を
「IKEv1 PSK」のメインモード、オフラインで総当たり攻撃受けるおそれ
「Adobe Experience Manager」に脆弱性 - アップデートをリリース
「VMware Workstation」などに深刻な脆弱性 - ホスト上でコード実行のおそれ
【訂正あり】「Oracle Database」にあらたな脆弱性、一部バージョンは7月のパッチで修正済み
「Samba」に5件の脆弱性 - 制御奪取や情報漏洩のおそれ
LinuxカーネルのIPフラグメント処理に脆弱性 - DoS攻撃受けるおそれ
MS、8月の月例パッチ公開 - 脆弱性2件でゼロデイ攻撃
Intelチップに脆弱性「Foreshadow」 - クラウドVM間で情報漏洩のおそれも
VMware、脆弱性「Foreshadow」向けにパッチを用意 - 緩和策も