ニュース
外付けHDD「CANVIOシリーズ」用パスワードツールに脆弱性、不正なファイルが実行される恐れ
修正版は4月28日に提供予定
2020年4月23日 20:07
東芝デバイス&ストレージ株式会社は、同社が提供するWindows用パスワードツールの一部のバージョンに脆弱性が存在することを明らかにした。
同ソフトは外付けHDD製品「CANVIOシリーズ」向けに提供されていたもの。「CANVIO PREMIUM」「CANVIO SLIM」など、以下の製品に搭載されたものや、同社ウェブサイトで公開されていたバージョン1.20.6620以前のものが脆弱性の影響を受ける。
- CANVIO PREMIUM 3TB HD-MB30TY
- CANVIO PREMIUM 3TB HD-MA30TY
- CANVIO PREMIUM 3TB HD-MB30TS
- CANVIO PREMIUM 3TB HD-MA30TS
- CANVIO PREMIUM 2TB HD-MB20TY
- CANVIO PREMIUM 2TB HD-MA20TY
- CANVIO PREMIUM 2TB HD-MB20TS
- CANVIO PREMIUM 2TB HD-MA20TS
- CANVIO PREMIUM 1TB HD-MB10TY
- CANVIO PREMIUM 1TB HD-MA10TY
- CANVIO PREMIUM 1TB HD-MB10TS
- CANVIO PREMIUM 1TB HD-MA10TS
- CANVIO SLIM 1TB HD-SB10TK
- CANVIO SLIM 1TB HD-SB10TS
- CANVIO SLIM 500GB HD-SB50GK
- CANVIO SLIM 500GB HD-SA50GK
- CANVIO SLIM 500GB HD-SB50GS
- CANVIO SLIM 500GB HD-SA50GS
同社によると、対象ソフトによって登録されるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性(CVE-2020-5569)が存在するという。この脆弱性の影響により不正なファイルが実行される恐れがある。共通脆弱性評価システムCVSS v3のスコアは8.4。
同脆弱性を修正したソフトは4月28日に提供される予定だが、回避策として対象ソフトのアンインストールやインストーラーを全て削除すること、パスワードを設定している場合はアンインストール前に必ずパスワードを削除するよう注意を呼び掛けている。