カスペルスキー製パスワードマネージャーに脆弱性　同じパスワードを生成

カスペルスキー製パスワードマネージャー「Kaspersky Password Manager（KPM）」に脆弱性が見つかり、新たにCVE-ID（CVE-2020-27020）が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている（Kaspersky、Donjon、The Register、窓の杜 ）。

発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ

　関連ストーリー：
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
iPhone の Wi-Fi を無効化する SSID のバグ、影響範囲が広がる 2021年07月08日