JVNDB-2016-008013 複数の ESET 製品 (macOS 版) におけるサーバ証明書の検証不備の脆弱性

【概要】

ESET 社が提供する複数の macOS 向け製品には、ESET サーバとの通信時にサーバ証明書の検証不備の脆弱性 (CWE-295) が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 小林靖幸氏

【CVSS による深刻度 (CVSS とは?)】

CVSS v3 による深刻度
・基本値: 4.8 (警告) [IPA値]
・攻撃元区分: ネットワーク
・攻撃条件の複雑さ: 高
・攻撃に必要な特権レベル: 不要
・利用者の関与: 不要
・影響の想定範囲: 変更なし
・機密性への影響(C): 低
・完全性への影響(I): 低
・可用性への影響(A): なし

CVSS v2 による深刻度
・基本値: 4.0 (警告) [IPA値]
・攻撃元区分: ネットワーク
・攻撃条件の複雑さ: 高
・攻撃前の認証要否: 不要
・機密性への影響(C): 部分的
・完全性への影響(I): 部分的
・可用性への影響(A): なし

【影響を受けるシステム】

ESET
・ESET Cyber Security 6.1.x から 6.3.70.1 まで
・ESET Cyber Security Pro 6.1.x から 6.3.70.1 まで
・ESET Endpoint Antivirus for macOS 6.0.x から 6.3.85.1 まで
・ESET Endpoint Security for macOS 6.0.x から 6.3.85.1 まで

【想定される影響】

攻撃者による中間者攻撃 (man-in-the-middle attack) によって、影響を受ける製品が受信したデータの偽造が行なわれる可能性があります。

【対策】

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した以下のバージョンをリリースしています。

・ESET Cyber Security 6.4.128.0 (2017年2月13日リリース)
・ESET Cyber Security Pro 6.4.128.0 (2017年2月13日リリース)
・ESET Endpoint Antivirus for macOS 6.4.168.0 (2017年2月14日リリース)
・ESET Endpoint Security for macOS 6.4.168.0 (2017年2月14日リリース)