HDD暗号化ソフトにWindowsの認証を無効化する不具合 - ソフォス
ソフォスのハードディスク暗号化ソフト「Sophos Disk Encryption」に、Windowsの認証機能を無効化してしまう不具合が含まれていることがわかった。修正版が提供されている。
Windowsにおいて休止状態から復帰するとログオンする際に認証が求められるが、同製品をインストールすると認証せずに操作可能となる脆弱性「CVE-2014-2005」が存在するという。
影響を受けるのは、「Sophos Enterprise Console Ver. 5.1」「同5.2」「同5.2.1」「同5.2.1R2」に含まれる「Sophos Disk Encryption 5.61」。脆弱性を修正した「同5.2.2」が公開されているほか、回避策がアナウンスされている。
今回の脆弱性は、サイボウズが開発者であるソフォスへ報告。ソフォスが情報処理推進機構(IPA)に届け、修正にあたりJPCERTコーディネーションセンターが調整を行った。
サイボウズでは、5月にノートパソコンを紛失する事故が発生。その際に導入していた暗号化ソフトの不具合により、本来設定していた認証が機能せず、回収した同PCへ何者かがログオンした形跡が残っていたことを公表している。
(Security NEXT - 2014/06/24 )
ツイート
PR
関連記事
サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「MS Edge 124」がリリース、脆弱性17件を修正
「PAN-OS」脆弱性への攻撃、国内でも被害報告
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性
