公開日:2013/05/08 最終更新日:2013/05/08

JVN#61972596
Online Service Gate におけるパスワード管理不備の問題

概要

Online Service Gate には、Office 365 のパスワード管理不備の問題が存在します。

影響を受けるシステム

Online Service Gate (Webブラウザ用) の全てのバージョンに含まれる以下の機能

  • OWA Helper (アドイン版)
  • OSG Lite (ブックマークレット版)

詳細情報

ソフトバンク・テクノロジー株式会社が提供する Online Service Gate は、Office 365 の利用を制限するシステムで、Office 365 のパスワードを一元管理する機能が備わっています。Online Service Gate に含まれる OWA Helper および OSG Lite には、本来管理者しか知ることのできない Office 365 のパスワードを、ユーザ自身が参照できる問題が存在します。

想定される影響

ユーザによって、当該製品で管理している Office 365 のパスワードを取得される可能性があります。結果として、当該製品による制限を回避され、Office 365 を使用される可能性があります。

対策方法

アップデートする
開発者によると、当該製品は、製品使用時にシステム側で自動的にアップデートが適用されるため、ユーザによる手動アップデートは必要ないとのことです。

ベンダ情報

ベンダ リンク
ソフトバンク・テクノロジー株式会社 Online Service Gate (オンラインサービスゲート)の修正プログラムリリースのご報告

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-2308
JVN iPedia JVNDB-2013-000035