【活用ガイド】

JVNDB-2015-001639

Bluetooth Stack for Windows by Toshiba および TOSHIBA Service Station に権限昇格の脆弱性

概要

株式会社東芝が提供する Bluetooth 制御ソフトウエアである Bluetooth Stack for Windows by Toshiba およびシステム管理アプリケーションソフトウエアである TOSHIBA Service Station には、引用符で囲まれていない Windows 検索パスに起因する権限昇格の脆弱性が存在します (CWE-428)。

CWE-428: Unquoted Search Path or Element (引用されない検索パスまたは要素)
http://cwe.mitre.org/data/definitions/428.html
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.9 (警告) [IPA値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


東芝
  • Bluetoooth Stack for Windows by Toshiba v9.10.27 およびそれ以前 (*1)
  • TOSHIBA Service Station v2.2.13 およびそれ以前 (*2)

*1 Bluetoooth Stack for Windows by Toshiba
開発者によると、次の場合においても本脆弱性の影響を受けるとのことです。

  "注)当社製パソコンにプリインストールされていない場合でも、別途購入の他社製Bluetooth対応機器(Bluetoothアダプタ)に添付された「Bluetooth Stack for Windows by Toshiba」がインストールされている場合があります。この場合、バージョン末尾には「(T)」が付いていません。ご面倒をおかけいたしますが、修正プログラムの詳しい入手方法等については機器のご購入元にお問い合わせください。"


*2 TOSHIBA Service Station
開発者から、対象ソフトウエアの確認方法についての情報が提供されています。

  "対象ソフトウェアのバージョン番号の確認方法はOSの種類により異なります。ここをクリックしてください。別ウィンドウが開きます。"


   詳しくは、開発者が提供する情報をご確認ください。
想定される影響

ローカルユーザにより、細工されたアプリケーションを介して、権限を取得される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、各製品に対応した修正プログラムを適用してください。

 * Bluetooth Stack for Windows by Toshiba v9.10.32(T)
  http://dynabook.com/assistpc/download/modify/soft/btswt/index_j.htm

 * TOSHIBA Service Station v2.2.14
  http://dynabook.com/assistpc/download/modify/soft/tssw7/index_j.htm
ベンダ情報

マイクロソフト 東芝
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-0884
参考情報

  1. JVN : JVNVU#99205169
  2. National Vulnerability Database (NVD) : CVE-2015-0884
  3. US-CERT Vulnerability Note : VU#632140
更新履歴

  • [2015年03月02日]
      掲載
    [2015年03月03日]
      ベンダ情報:東芝 (Toshiba Service Station Security Update) を追加
      ベンダ情報:東芝 (Toshiba Bluetooth Stack Security Update) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2015-0884) を追加

公表日2015/03/02
登録日2015/03/02
最終更新日2015/03/03