独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月28日、株式会社NTTデータが提供するAndroidアプリ「MyPallete」に、SSLサーバ証明書の検証不備の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは4.8。東京電機大学 工学部 情報通信工学科 暗号方式・暗号プロトコル研究室の中村大氏が報告を行った。「MyPallete」は、複数の金融機関が顧客向けに提供している。「MyPallete」には、SSLサーバ証明書の検証不備および証明書検証におけるホスト名検証不備の脆弱性(CVE-2020-5523)が存在する。この脆弱性が悪用されると、中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行われる可能性がある。JVNでは、開発者や各金融機関が提供する情報をもとに、最新版へアップデートするよう呼びかけている。
Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)2020.1.21 Tue 8:15
