GIGAZINEさんで話題になったPrivdogに脆弱性があることも判明
先日 GIGAZINE さんのところで取り上げられてた PrivDog ですが脆弱性ニュースになっています
「PrivDog」にサーバ証明書の検証不備の脆弱性(JVN) | ScanNetSecurity (脅威、セキュリティホール・脆弱性のニュース)
SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明 - GIGAZINE
【悲報】多くの大手セキュリティ会社が自己署名証明書で通信を傍受する技術を使ってる事が判明
| Adtrustmediaが提供する「PrivDog」にサーバ証明書の検証不備の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSSによる最大Base Scoreは8.5
MITMプロキシ機能はNetFilter SDKを使って実装されているが、「PrivDog 3.0.96.0」は、NetFilter |
要するに、通信傍受してるにも関わらず意図的に分からないように小細工していたのが、一連のニュースで明らかになったため、あわてて直したってことでいいんだろうか?
PrivDog 3.0.105.0 is now released. - News / Announcements / Feedback - PrivDog
PrivDog Advisory
| この潜在的な問題は、PrivDogバージョン、3.0.96.0および3.0.97.0にのみ存在する。 PrivDogが使用するサードパーティのライブラリは、SUPERFISHが使用するのと同じサードパーティのライブラリではありません。 |
Comodo さんの投稿によると、また来週修正があるとのこと
これを見ると、ごく 最近のバージョンで、検出できないようにしたみたいですね。
|。・ω・) 。o ( ユーザービリティを高めるつもりの検出迂回方法のつもりだったけど、逆に叩かれてしまったでござるの巻ってことか… )
Translate
まあやっちゃったことは仕方ないかもしれませんが…
このスタッフの対応は舐めてるとしか。
ttps://forums.comodo.com/general-security-questions-and-comments/komodia-superfish-vulnerability-ssl-hijacker-t109881.0.html
んでもってこれです。
ttp://privdog.com/advisory.html
“minor”, “third party”, “a very small number”, “potential”辺りに注目。
結論: Comodoは言い訳下手
#直リン禁止ですかね…なんか弾かれる
連投すみません。
さらにはAdtrustmediaのサーバーに訪問先URLを平文で送信してたようです。
https://blog.hboeck.de/archives/866-PrivDog-wants-to-protect-your-privacy-by-sending-data-home-in-clear-text.html
情報ありがとうございます。調べて記事にしました