最終更新日: 2020/04/30
情報源
Japan Vulnerability Notes JVN#13467854
東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN13467854/
概要
東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、Windows サービスに登録する実行ファイルパスを引用符で囲んでいません。結果として、第三者が当該サービスの権限で不正なファイルを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
– 次の製品に搭載および 2020年3月10日以前にダウンロードされた Windows 用パスワードツールのバージョン 1.20.6620 およびそれ以前
– CANVIO PREMIUM 3TB
– HD-MB30TY
– HD-MA30TY
– HD-MB30TS
– HD-MA30TS
– CANVIO PREMIUM 2TB
– HD-MB20TY
– HD-MA20TY
– HD-MB20TS
– HD-MA20TS
– CANVIO PREMIUM 1TB
– HD-MB10TY
– HD-MA10TY
– HD-MB10TS
– HD-MA10TS
– CANVIO SLIM 1TB
– HD-SB10TK
– HD-SB10TS
– CANVIO SLIM 500GB
– HD-SB50GK
– HD-SA50GK
– HD-SB50GS
– HD-SA50GS
この問題は、該当製品を東芝デバイス&ストレージ株式会社が提供する修正済みのバージョンに更新するか、回避策を適用することで解決します。詳細は、東芝デバイス&ストレージ株式会社が提供する情報を参照してください。
関連文書 (日本語)
株式会社東芝
TDSCSA00699-01:CANVIO シリーズのWindows 用パスワードツールによって登録されるWindows サービスの実行ファイルパスが引用符で囲まれていない脆弱性について
https://www.canvio.jp/news/20200420.htm
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-04-30」
https://www.jpcert.or.jp/wr/2020/wr201701.html