JVNDB-2026-013932
|
IDrive Cloud Backup Client for Windowsにおける権限昇格の脆弱性
|
|
IDriveは、PC、Mac、iPhone、Androidなどの複数のデバイスから取得したデータを暗号化、同期、保存し、1つのクラウドアカウントに集約できるクラウドバックアップサービスです。IDriveのWindowsクライアントユーティリティ id_service.exe は、SYSTEM権限で動作するプロセスとして実行され、 C:\ProgramData\IDrive 配下にある複数のファイルを定期的に読み込んでいます。これらの読み込みに利用されるファイルは権限設定が不十分なため、システムにログインしているユーザが任意のスクリプトやexeファイルへのパスを指定したファイルに置き換えることが可能です。
|
|
|
|
|
IDrive Inc.
- IDrive Cloud Backup Client for Windows バージョン 7.0.0.63およびそれ以前
|
|
|
攻撃者によってファイルを改ざんされ、SYSTEM権限で任意のコードを実行される可能性があります。
|
|
[ワークアラウンドを実施する]
CERT/CCはワークアラウンドの適用を推奨しています。
詳細は、CERT/CCが提供する情報を確認してください。
|
|
|
|
|
|
- CVE-2026-1995
|
|
- JVN : JVNVU#91813693
- US-CERT Vulnerability Note : VU#624941
- 関連文書 : CVE-2026-1995: IDrive Windows Backup Vulnerability Discovery | FRSecure
|
|
|
