Vulnérabilité dans Kaspersky Password Manager
Date de publication :
CVE-2020-27020[Score CVSS v3 : 7.5]
Kaspersky a corrigé un problème de sécurité dans le produit Kaspersky Password Manager pour plusieurs plateformes. Le générateur de mots de passe n'était pas cryptographiquement fort et pouvait permettre à un attaquant de prédire les mots de passe générés dans certains cas. Un attaquant aurait besoin de connaître certaines informations supplémentaires (par exemple, l'heure de la génération du mot de passe) afin d’exploiter cette vulnérabilité.
Toutes les versions publiques de Kaspersky Password Manager concernées par ce problème ont maintenant une nouvelle logique de génération de mots de passe et une alerte de mise à jour des mots de passe a été lancée pour les cas où un mot de passe généré n'est probablement pas assez fort.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Vol d’identifiants
- Usurpation d’identité
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Kaspersky Password Manager pour Windows avant la version 9.2 Patch F
- Kaspersky Password Manager pour Android avant la version 9.2.14.872
- Kaspersky Password Manager pour iOS avant la version 9.2.14.31
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Kaspersky Password Manager pour Windows vers la version 9.2 Patch F.
- Mettre à jour Kaspersky Password Manager pour Android vers la version 9.2.14.872.
- Mettre à jour Kaspersky Password Manager pour iOS vers la version 9.2.14.31.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.