外付けHDD「CANVIOシリーズ」用パスワードツールに脆弱性、不正なファイルが実行される恐れ

　東芝デバイス＆ストレージ株式会社は、同社が提供するWindows用パスワードツールの一部のバージョンに脆弱性が存在することを明らかにした。

　同ソフトは外付けHDD製品「CANVIOシリーズ」向けに提供されていたもの。「CANVIO PREMIUM」「CANVIO SLIM」など、以下の製品に搭載されたものや、同社ウェブサイトで公開されていたバージョン1.20.6620以前のものが脆弱性の影響を受ける。

• CANVIO PREMIUM 3TB HD-MB30TY
• CANVIO PREMIUM 3TB HD-MA30TY
• CANVIO PREMIUM 3TB HD-MB30TS
• CANVIO PREMIUM 3TB HD-MA30TS
• CANVIO PREMIUM 2TB HD-MB20TY
• CANVIO PREMIUM 2TB HD-MA20TY
• CANVIO PREMIUM 2TB HD-MB20TS
• CANVIO PREMIUM 2TB HD-MA20TS
• CANVIO PREMIUM 1TB HD-MB10TY
• CANVIO PREMIUM 1TB HD-MA10TY
• CANVIO PREMIUM 1TB HD-MB10TS
• CANVIO PREMIUM 1TB HD-MA10TS
• CANVIO SLIM 1TB HD-SB10TK
• CANVIO SLIM 1TB HD-SB10TS
• CANVIO SLIM 500GB HD-SB50GK
• CANVIO SLIM 500GB HD-SA50GK
• CANVIO SLIM 500GB HD-SB50GS
• CANVIO SLIM 500GB HD-SA50GS

　同社によると、対象ソフトによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性（CVE-2020-5569）が存在するという。この脆弱性の影響により不正なファイルが実行される恐れがある。共通脆弱性評価システムCVSS v3のスコアは8.4。

　同脆弱性を修正したソフトは4月28日に提供される予定だが、回避策として対象ソフトのアンインストールやインストーラーを全て削除すること、パスワードを設定している場合はアンインストール前に必ずパスワードを削除するよう注意を呼び掛けている。