Superfishの脆弱性

Superfishの脆弱性

Superfishの脆弱性

レノボ セキュリティ アドバイザリ:  LEN-2015-010
潜在的影響:  中間者攻撃 (Man-in-the-Middle Attack)
重要度 :  高

概要:

このアドバイザリはLenovoノートブック製品のみ対象にしています。 

(ThinkPad、ThinkCentre、Lenovo Desktop、ThinkStation、ThinkServer および System x 製品には影響ありません。)


Superfishは、お客様のショッピングの間に興味をお持ちになる可能性のある商品を発見する手伝いをする目的で、2014年9月から2015年2月の期間、コンシューマ向けノートブック製品の一部に搭載されていました。しかしながら、本アプリケーションに対するお客様からのフィードバックはポジティブではなく、我々は直ちにかつ決定的な対応を行いました。具体的には:

 
1. レノボ製品に搭載された全てのSuperfishは、サーバ側との接続ができないように完全に無力化されています(本年1月より)。したがってこのアプリケーションはもはや動作しません。この無力化は出荷されたレノボ製品に搭載された全てのSuperfishを対象としています。
2. レノボは1月時点で 本アプリケーションのプリロード中止の指示を出しています。
3. 将来にわたり、本アプリケーションをレノボ製品にプリロードすることはありません。
 
本ソフトウェアはローカルの信頼されたCAストアに自己署名証明書をインストールするなどの脆弱性が確認されました。

説明

Superfishは自己署名証明書を用いてHTTP(S)通信を傍受します。この自己署名証明書はローカルのルート証明書ストアに保管されて、セキュリティ上の懸念点になります。

お客様による対策

レノボはSuperfishのサーバ側によるすべての動作を無力化しました。Superfishおよび関連ファイルをお客様のコンピューターから完全に削除するには、下記リンク先の手順に従ってください。

Superfishのアンインストール方法

対象製品

以下のLenovoノートブックでSuperfishが起動する可能性があります。
 

E シリーズ:
E10-30
Flex シリーズ:
Flex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 Pro, Flex 10
Edge シリーズ:
Lenovo Edge 15
G シリーズ:
G410, G510, G710, G40-30, G40-45, G40-70, G40-80,G50-30, G50-50, G50-45, G50-70, G50-80, G50-80Touch
Miix シリーズ:
Miix2 – 8, Miix2 – 10, Miix2 – 11, Miix 3 - 1030
S シリーズ:
S310, S410, S415, S415 Touch, S435, S20-30, S20-30 Touch, S40-70
U シリーズ:
U330P, U430P, U330 Touch, U430 Touch, U530 Touch
Y シリーズ:
Y430P, Y40-70, Y40-80, Y50-70, Y70-70
Yoga シリーズ:
Yoga2-11, Yoga2-13, Yoga2Pro-13, Yoga3 Pro
Z シリーズ:
Z40-70, Z40-75, Z50-70, Z50-75, Z70-80


(注)本ステートメントはレノボ本社の英文を翻訳したものであり、対象機種には日本で発売されなかったモデルも含まれます。

謝辞:

なし

編集履歴:

リビジョン

日付

説明

1.0

2/20/2015

新規作成

1.1

2/20/2015

アドバイザリの更新

1.2

2/23/2015

概要および対象製品の更新

1.3

3/6/2015

McAfeeサービス無償提供へのリンクを追加

1.4

3/17/2015

対象製品の更新


エイリアス番号:SUPERFISH
ドキュメント ID:PS500035
リリース日:2016年06月17日
最終更新日:2017年09月06日