HDD暗号化ソフトにWindowsの認証を無効化する不具合 - ソフォス
ソフォスのハードディスク暗号化ソフト「Sophos Disk Encryption」に、Windowsの認証機能を無効化してしまう不具合が含まれていることがわかった。修正版が提供されている。
Windowsにおいて休止状態から復帰するとログオンする際に認証が求められるが、同製品をインストールすると認証せずに操作可能となる脆弱性「CVE-2014-2005」が存在するという。
影響を受けるのは、「Sophos Enterprise Console Ver. 5.1」「同5.2」「同5.2.1」「同5.2.1R2」に含まれる「Sophos Disk Encryption 5.61」。脆弱性を修正した「同5.2.2」が公開されているほか、回避策がアナウンスされている。
今回の脆弱性は、サイボウズが開発者であるソフォスへ報告。ソフォスが情報処理推進機構(IPA)に届け、修正にあたりJPCERTコーディネーションセンターが調整を行った。
サイボウズでは、5月にノートパソコンを紛失する事故が発生。その際に導入していた暗号化ソフトの不具合により、本来設定していた認証が機能せず、回収した同PCへ何者かがログオンした形跡が残っていたことを公表している。
(Security NEXT - 2014/06/24 )
ツイート
PR
関連記事
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
セキュリティアップデート「Firefox 147.0.2」が公開
