『艦これ』用ツール「提督業も忙しい！」に脆弱性・・・関係機関が注意喚起

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は5月26日、grabacr.netが提供するオンラインゲーム用ユーティリティツール「提督業も忙しい！」（KanColleViewer）にオープンプロキシとして動作する問題（CVE-2015-2947）が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSSによる最大Base Scoreは6.4。

「KanColleViewer 3.8.1 およびそれ以前」には、Fiddler.FiddlerApplication.Startup() メソッドの呼出しにおいて、localhost以外のホストからの接続を拒否するフラグの指定を明示的に行っていないことが原因で、当該製品が意図せずオープンプロキシとして動作する問題が存在する。この問題が悪用されると、リモートの第三者にプロキシサーバとして使用された場合、当該製品が攻撃の踏み台として悪用される可能性がある。grabacr.netでは、この問題を解消した新バージョン「KanColleViewer 3.8.2」を公開しており、JVNでは情報をもとに最新版へアップデートするよう呼びかけている。

ゲーム用ツール「提督業も忙しい！」にオープンプロキシ動作の問題（JVN）

《吉澤亨史@ScanNetSecurity》