| 脆弱性に関する概要 | アクセス制限不備 |
| CVE # | CVE-2018-0701 |
| 深刻度 | 高 |
| CVSS v3 Base / Temporal Scores: | Base: 6.3 |
| 解決方法 | 最新のBlueStacksへのアップグレード |
| 対象バージョン | Windows: BlueStacks 3以上 MacOS: BlueStacks 2以上 |
| BlueStacksダウンロードページ |
概要
BlueStacksはAndroidアプリをWindowsおよびMac OSで動作させるため、Androidをバーチャルマシン(VM)上で動作させています。ご利用の端末でBlueStacksがインストール/アクティベートされると、ADB(Android Debug Bridge)接続用のポート5555/TCPが接続リクエストの待受を開始します。BlueStacksをインストール/アクティベートしたターミナルがインターネット接続されると、ADB接続の認証が不要なため、第三者がパッケージマネージャーを介しBlueStacksのVM環境にアクセスし、アプリをインストール/アンインストールするといったサイバー攻撃が可能となります。
● CVE-2018-0701: BlueStacks fails to restrict access permissions.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0701
解決方法
Windows
BlueStacks公式サイト(http://www.bluestacks.com/download.html)から最新のBlueStacksをインストールしてください。このようなサイバー攻撃をブロックするため、セキュリティ保護が強化されています。
※データ引き継ぎはご自身で管理をお願いいたします。
Mac
サイバー攻撃をブロックする方法につき下記リンクをご参照ください。
https://support.bluestacks.com/hc/articles/360016496752
緊急措置
● BlueStacksがインストールされた端末を直接インターネットに接続しないでください。
● 外部から5555/TCPへのアクセスをブロックしてください。
協力
NICT(国立開発研究法人情報通信研究機構)
Masaki Kubo様、Yoshiki Mori様
CVSS スコア
| Base Score | 6.3 |
| Attack Vector (AV) | Advanced (A) |
| Attack Complexity (AC) | Low (L) |
| Privileges Required (PR | None (N) |
| User Interaction (UI) | None (N) |
| Scope (S) | Unchanged (U) |
| Confidentiality (C) | Low (L) |
| Integrity (I) | Low (L) |
| Availability (A) | Low (L) |
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L