2025年8月29日Ravie Lakshmanan脆弱性 / エンタープライズセキュリティ
エンタープライズ向けパスワード管理ソリューション「Passwordstate」の開発元であるClick Studiosは、ソフトウェアに存在する認証バイパス脆弱性に対応するためのセキュリティアップデートをリリースしたと発表しました。
この問題はまだCVE識別子が割り当てられていませんが、2025年8月28日にリリースされたPasswordstate 9.9(ビルド9972)で修正されています。
オーストラリアの同社は、「コアPasswordstate製品の緊急アクセスページに対して巧妙に作成されたURLを使用した場合に発生する可能性のある認証バイパス」を修正したと述べています。
また、最新バージョンには、ユーザーが侵害されたサイトにアクセスした場合でも、ブラウザ拡張機能を標的としたクリックジャッキング攻撃から保護するための強化された防御策も含まれています。
これらの防御策は、今月初めにセキュリティ研究者のMarek Tóth氏が、いくつかのパスワードマネージャーのブラウザアドオンが脆弱であることが判明した「Document Object Model(DOM)ベースの拡張機能クリックジャッキング」と呼ばれる手法を詳述したことを受けたものと思われます。
「攻撃者が制御するウェブサイト上でどこか1回クリックするだけで、攻撃者はユーザーのデータ(クレジットカード情報、個人情報、ログイン認証情報、TOTPを含む)を盗むことができます」とTóth氏は述べています。「この新しい手法は汎用的で、他の種類の拡張機能にも適用可能です。」
Click Studiosによると、この認証情報管理ツールは、世界中の企業、政府機関、金融機関、フォーチュン500企業を含む29,000社、37万人のセキュリティおよびIT専門家に利用されています。
この情報公開は、同社が攻撃者によってソフトウェアのアップデート機構を乗っ取られ、侵害されたシステムから機密情報を収集できるマルウェアを配布されるというサプライチェーン攻撃を受けてから4年以上が経過したタイミングで行われました。
また、2022年12月には、Click StudiosはPasswordstateの複数のセキュリティ脆弱性を修正しており、その中には認証されていないリモートの攻撃者がユーザーの平文パスワードを取得できる可能性があったPasswordstateのAPIの認証バイパス(CVE-2022-3875、CVSSスコア:9.1)も含まれていました。
翻訳元: https://thehackernews.com/2025/08/click-studios-patches-passwordstate.html