2016.06.26(日)

フィッシャープライス「Smart Toy」向けWebサービスに脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月3日、フィッシャープライス「Smart Toy」向けWebサービスに、複数のAPI呼出しにおいて適切な認証を行っていない脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.4。

「Smart Toy」向けWebサービスは、Wi-Fi接続機能を持つIoT玩具「Smart Toy Bear」にさらなるインタラクションを提供するもの。このAPIには、適切な認証を行っていない脆弱性(CVE-2015-8269)が存在する。この脆弱性が悪用されると、リモートの攻撃者によって当該製品に関連付けられた子供や親の個人情報を取得されたり、変更されたりする可能性がある。また玩具を乗っ取られる可能性もある。フィッシャープライスは、サービス側の変更によってこの問題を修正しており、JVNではMattel, Inc. またはフィッシャープライスに問い合わせるよう呼びかけている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

    OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

  2. Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

    Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

  3. Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)

    Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)

  4. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

  5. 「Apache Struts 2」に深刻な脆弱性、バージョンアップを強く推奨(ラック)

  6. 「ウイルスバスター」に複数の脆弱性、個人向け、法人向けともに影響(JVN)

  7. 「ntpd」に複数の脆弱性、アップデートを呼びかけ(JVN)

  8. IrfanView の JPEG 2000 プラグインにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  9. 「Electron」に任意のJavaScriptを実行される脆弱性(JVN)

  10. 「ウイルスが検出されました」と日本語の音声で警告する偽サイトを確認(トレンドマイクロ)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×