Superfishの脆弱性
Superfishの脆弱性
Superfishの脆弱性
レノボ セキュリティ アドバイザリ: LEN-2015-010
潜在的影響: 中間者攻撃 (Man-in-the-Middle Attack)
重要度 : 高
このアドバイザリはLenovoノートブック製品のみ対象にしています。
(ThinkPad、ThinkCentre、Lenovo Desktop、ThinkStation、ThinkServer および System x 製品には影響ありません。)
Superfishは、お客様のショッピングの間に興味をお持ちになる可能性のある商品を発見する手伝いをする目的で、2014年9月から2015年2月の期間、コンシューマ向けノートブック製品の一部に搭載されていました。しかしながら、本アプリケーションに対するお客様からのフィードバックはポジティブではなく、我々は直ちにかつ決定的な対応を行いました。具体的には:
1. レノボ製品に搭載された全てのSuperfishは、サーバ側との接続ができないように完全に無力化されています(本年1月より)。したがってこのアプリケーションはもはや動作しません。この無力化は出荷されたレノボ製品に搭載された全てのSuperfishを対象としています。
2. レノボは1月時点で 本アプリケーションのプリロード中止の指示を出しています。
3. 将来にわたり、本アプリケーションをレノボ製品にプリロードすることはありません。
本ソフトウェアはローカルの信頼されたCAストアに自己署名証明書をインストールするなどの脆弱性が確認されました。
Superfishは自己署名証明書を用いてHTTP(S)通信を傍受します。この自己署名証明書はローカルのルート証明書ストアに保管されて、セキュリティ上の懸念点になります。
レノボはSuperfishのサーバ側によるすべての動作を無力化しました。Superfishおよび関連ファイルをお客様のコンピューターから完全に削除するには、下記リンク先の手順に従ってください。
Superfishのアンインストール方法
以下のLenovoノートブックでSuperfishが起動する可能性があります。
(注)本ステートメントはレノボ本社の英文を翻訳したものであり、対象機種には日本で発売されなかったモデルも含まれます。
なし
リビジョン |
日付 |
説明 |
1.0 |
2/20/2015 |
新規作成 |
1.1 |
2/20/2015 |
アドバイザリの更新 |
1.2 |
2/23/2015 |
概要および対象製品の更新 |
1.3 |
3/6/2015 |
McAfeeサービス無償提供へのリンクを追加 |
1.4 |
3/17/2015 |
対象製品の更新 |
ご意見はサイトの改善に活用いたします。