Android版「Outlook.com」アプリに脆弱性、中間者攻撃による盗聴の可能性

独立行政法人情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は30日、「Outlook.com」のAndroid版アプリにSSLサーバー証明書の検証不備の脆弱性が存在することを公表した。ユーザーに対しては、最新版へのアップデートを呼び掛けている。

脆弱性が存在するのは、Outlook.comのAndroid版アプリの7.8.2.12.49.7090より前のバージョン。該当バージョンのアプリには、ウェブサーバーから不正なSSLサーバー証明書が送信された場合でも、警告を出さずに接続してしまうという検証不備の脆弱性が存在する。この脆弱性が悪用されることで、中間者攻撃による暗号通信の盗聴などが行われる可能性がある。

対策方法としては、既に脆弱性を修正したバージョンのアプリが公開されているため、最新バージョンへのアップデートが推奨されている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140730_660252.html