Superfishの脆弱性

レノボ セキュリティ アドバイザリ: LEN-2015-010
潜在的影響: 中間者攻撃 (Man-in-the-Middle Attack)
重要度 : 高

このアドバイザリはLenovoノートブック製品のみ対象にしています。 

(ThinkPad、ThinkCentre、Lenovo Desktop、
ThinkStation、ThinkServer および System x 製品には影響ありません。)


Superfishは、

お客様のショッピングの間に興味をお持ちになる可能性のある商品を
発見する手伝いをする目的で、

2014年9月から2015年2月の期間、

コンシューマ向けノートブック製品の一部に搭載されていました。

しかしながら、
本アプリケーションに対するお客様からのフィードバックはポジティブではなく、
我々は直ちにかつ決定的な対応を行いました。


1. レノボ製品に搭載された全てのSuperfishは、
サーバ側との接続ができないように完全に無力化されています(本年1月より)。
したがってこのアプリケーションはもはや動作しません。
この無力化は出荷されたレノボ製品に搭載された全てのSuperfishを対象としています。

2. レノボは1月時点で 本アプリケーションのプリロード中止の指示を出しています。

3. 将来にわたり、本アプリケーションをレノボ製品にプリロードすることはありません。
 
本ソフトウェアはローカルの信頼されたCAストアに自己署名証明書を
インストールするなどの脆弱性が確認されました。




Superfishは自己署名証明書を用いてHTTP(S)通信を傍受します。
この自己署名証明書はローカルのルート証明書ストアに保管されて、
セキュリティ上の懸念点になります。




Superfishのアンインストール方法










posted by Think at 00:00 | Comment(0) | Thinkpad | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: