ニュース

外付けHDD「CANVIOシリーズ」用パスワードツールに脆弱性、不正なファイルが実行される恐れ

修正版は4月28日に提供予定

 東芝デバイス&ストレージ株式会社は、同社が提供するWindows用パスワードツールの一部のバージョンに脆弱性が存在することを明らかにした。

 同ソフトは外付けHDD製品「CANVIOシリーズ」向けに提供されていたもの。「CANVIO PREMIUM」「CANVIO SLIM」など、以下の製品に搭載されたものや、同社ウェブサイトで公開されていたバージョン1.20.6620以前のものが脆弱性の影響を受ける。

  • CANVIO PREMIUM 3TB HD-MB30TY
  • CANVIO PREMIUM 3TB HD-MA30TY
  • CANVIO PREMIUM 3TB HD-MB30TS
  • CANVIO PREMIUM 3TB HD-MA30TS
  • CANVIO PREMIUM 2TB HD-MB20TY
  • CANVIO PREMIUM 2TB HD-MA20TY
  • CANVIO PREMIUM 2TB HD-MB20TS
  • CANVIO PREMIUM 2TB HD-MA20TS
  • CANVIO PREMIUM 1TB HD-MB10TY
  • CANVIO PREMIUM 1TB HD-MA10TY
  • CANVIO PREMIUM 1TB HD-MB10TS
  • CANVIO PREMIUM 1TB HD-MA10TS
  • CANVIO SLIM 1TB HD-SB10TK
  • CANVIO SLIM 1TB HD-SB10TS
  • CANVIO SLIM 500GB HD-SB50GK
  • CANVIO SLIM 500GB HD-SA50GK
  • CANVIO SLIM 500GB HD-SB50GS
  • CANVIO SLIM 500GB HD-SA50GS

 同社によると、対象ソフトによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性(CVE-2020-5569)が存在するという。この脆弱性の影響により不正なファイルが実行される恐れがある。共通脆弱性評価システムCVSS v3のスコアは8.4。

 同脆弱性を修正したソフトは4月28日に提供される予定だが、回避策として対象ソフトのアンインストールやインストーラーを全て削除すること、パスワードを設定している場合はアンインストール前に必ずパスワードを削除するよう注意を呼び掛けている。