Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

BYOD向けスマホアプリに中間者攻撃のおそれ - アップデートがリリース

日本ユニシスがスマートフォン向けに提供している業務システムのモバイルアクセス用アプリ「mobiGate」に、盗聴など行われるおそれがある脆弱性が含まれていることがわかった。アップデートがリリースされている。 

20161101_nu_001.jpg
脆弱性が修正された「mobiGate」(画像:Google Play)

Android向けに提供している「同2.2.1.2」やiOS向けの「同2.2.4.1」にSSLサーバ証明書の検証を正しく行わない脆弱性「CVE-2016-7805」が含まれていることが判明したもの。以前のバージョンも影響を受ける。

脆弱性を悪用された場合、マンインザミドル(MITM)攻撃により、通信内容を盗聴されるおそれがある。

同脆弱性は、リスクファインダーの谷口岳氏が発見。同氏より連絡を受けた日本ユニシスが周知を目的に情報処理推進機構(IPA)へ報告、JPCERTコーディネーションセンターが調整を行った。

日本ユニシスでは、Android向けに脆弱性へ対処した「同2.2.1.3」、iOS向けに「同2.2.5.0」を用意。Google PlayおよびApp Store経由で提供を開始している。

(Security NEXT - 2016/11/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

ゼロデイ攻撃への悪用目立つ「権限昇格の脆弱性」
複数「VPNアプリ」に「Cookie」窃取されるおそれ - 一部ベンダーは反論
研究者が最新版IEの脆弱性を指摘 - 修正予定なく、実証コードが公開へ
Oracle、四半期定例アップデートを公開 - 脆弱性297件を修正
「Java SE」最新版がリリース - 5件の脆弱性に対応
Windows向け「Apache Tomcat」にリモートよりコード実行のおそれ
「VMware ESXi」などに3件の脆弱性 - アップデートがリリース
最新Wi-Fiセキュ規格「WPA3」に脆弱性「Dragonblood」 - 今後さらなる脆弱性が公表予定
Intel、複数製品向けに脆弱性を修正するアップデート
PHPのテンプレエンジン「Twig」に情報漏洩の脆弱性