modzeroはこのほど、「Better Make Sure Your Password Manager Is Secure|mod%log」において、Click Studios社が提供しているパスワード管理ツール「Passwordstate」に複数の重大な脆弱性が発見されたと伝えた。これらの脆弱性を悪用されると、悪意を持った第三者によってパスワードを盗み出されたり、データベース内に保存されている全てのパスワードを上書きされたり、アプリケーション内の権限の昇格などが行われたりする危険性がある。
modzeroによって報告された脆弱性のうち、CVE追跡番号が付いているものは以下のとおり。
- CVE-2022-3875: リモートから認証をバイパスされ、ユーザ名やパスワードを盗み出される危険性がある
- CVE-2022-3876: リモートから認証がパイパスされ、データベース内の全てのパスワード情報を上書きされる危険性がある
CVE-2022-3877: クロスサイトスクリプティング(XSS)攻撃により、リモートから管理者権限で任意のコードを実行される危険性がある 次のプロダクトでこれらの脆弱性の影響を受けることが確認されている。ただし、これ以外のバージョンも影響を受ける危険性がある
Passwordstate 9.5 Build 9583以前のバージョン
Passwordstate Browser Extension Chrome 9.5.8.4以前のバージョン
modzeroが報告したすべての脆弱性の詳細な情報は次の報告書にまとめられている。
Click Studiosによれば、同社が2022年11月7日にリリースしたPasswordstate 9.6 Build 9653以降のバージョンにアップデートすることで、これらの脆弱性の影響を回避することができるという。Passwordstateのアップデートに関する情報は次の変更リストを参照のこと。
パスワード管理ツールが侵害された場合、ユーザーが利用しているすべてのサービスやデバイスが危険に晒される可能性があるため、早急に対策を講じる必要がある。