|
[English]
|
JVNDB-2020-000025
|
東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
|
|
東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、Windows サービスに登録する実行ファイルパスを引用符で囲んでいません(CWE-428)。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 8.4 (重要) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 4.6 (警告) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
次の製品に搭載および 2020年3月10日以前にダウンロードされた Windows 用パスワードツールのバージョン 1.20.6620 およびそれ以前が対象になります。
|
東芝デバイス&ストレージ株式会社
- CANVIO PREMIUM 3TB HD-MB30TY
- CANVIO PREMIUM 3TB HD-MA30TY
- CANVIO PREMIUM 3TB HD-MB30TS
- CANVIO PREMIUM 3TB HD-MA30TS
- CANVIO PREMIUM 2TB HD-MB20TY
- CANVIO PREMIUM 2TB HD-MA20TY
- CANVIO PREMIUM 2TB HD-MB20TS
- CANVIO PREMIUM 2TB HD-MA20TS
- CANVIO PREMIUM 1TB HD-MB10TY
- CANVIO PREMIUM 1TB HD-MA10TY
- CANVIO PREMIUM 1TB HD-MB10TS
- CANVIO PREMIUM 1TB HD-MA10TS
- CANVIO SLIM 1TB HD-SB10TK
- CANVIO SLIM 1TB HD-SB10TS
- CANVIO SLIM 500GB HD-SB50GK
- CANVIO SLIM 500GB HD-SA50GK
- CANVIO SLIM 500GB HD-SB50GS
- CANVIO SLIM 500GB HD-SA50GS
|
|
|
Windows サービスの実行ファイルパスに空白文字が含まれ、かつ引用符で囲まれていない場合に、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性があります。
|
|
開発者は、2020年4月28日に本脆弱性を修正した対策版をリリースしてい
ます。
[パスワードツールをアンインストールする、あるいはアップデートする]
開発者が提供する情報をもとに Windows 用パスワードツールをアンインストールする、
あるいは継続使用する場合は最新版にアップデートしてください。
アンインストールやアップデートにより、不適切な Windows サービスの登録は削除あるいは修正されます。
アンインストール方法:
・パスワードを設定している場合は、アンインストール前に必ずパスワードを削除する。
・パソコンから Windows用パスワードツールのバージョン 1.20.6620 およびそれ以前をアンインストールする。
・対象製品およびパソコンから当該ソフトウェアのインストーラも全て削除する。
アップデート方法:
・開発者が提供する情報をもとに最新版にアップデートしてください。
詳しくは、開発者が提供する情報をご確認ください。
|
|
東芝デバイス&ストレージ株式会社
|
|
- 引用されない検索パスまたは要素(CWE-428) [IPA評価]
|
|
- CVE-2020-5569
|
|
- JVN : JVN#13467854
- National Vulnerability Database (NVD) : CVE-2020-5569
|
|
- [2020年04月20日]
掲載
- [2020年04月28日]
【対策方法】を更新しました。
|
