HDD暗号化ソフトにWindowsの認証を無効化する不具合 - ソフォス

ソフォスのハードディスク暗号化ソフト「Sophos Disk Encryption」に、Windowsの認証機能を無効化してしまう不具合が含まれていることがわかった。修正版が提供されている。

Windowsにおいて休止状態から復帰するとログオンする際に認証が求められるが、同製品をインストールすると認証せずに操作可能となる脆弱性「CVE-2014-2005」が存在するという。

影響を受けるのは、「Sophos Enterprise Console Ver. 5.1」「同5.2」「同5.2.1」「同5.2.1R2」に含まれる「Sophos Disk Encryption 5.61」。脆弱性を修正した「同5.2.2」が公開されているほか、回避策がアナウンスされている。

今回の脆弱性は、サイボウズが開発者であるソフォスへ報告。ソフォスが情報処理推進機構（IPA）に届け、修正にあたりJPCERTコーディネーションセンターが調整を行った。

サイボウズでは、5月にノートパソコンを紛失する事故が発生。その際に導入していた暗号化ソフトの不具合により、本来設定していた認証が機能せず、回収した同PCへ何者かがログオンした形跡が残っていたことを公表している。

（Security NEXT - 2014/06/24 ） ツイート

PR

関連記事

MS、7月の月例セキュリティパッチを公開 - 前月の約2倍
「Citrix CVAD」「Citrix DaaS」に脆弱性 - 「VDA」の更新呼びかけ
「FortiWeb」に認証不要でコマンド実行が可能となるSQLi脆弱性
「OpenSSL 3.5.1」がリリース - コピペミス起因脆弱性を解消
「FortiOS」に脆弱性 - アドバイザリ3件を公開
米当局、2019年以前の既知脆弱性4件を悪用リストに追加
FTPサーバ「WingFTP」に深刻な脆弱性 - アップデートで修正
トレンドマイクロ製パスワード管理ツールに複数の脆弱性
「WAGO Device Sphere」に脆弱性 - 同一証明書により認証回避が可能
「XenServer 8.4」に脆弱性 - アップデートをリリース