HDD暗号化ソフトにWindowsの認証を無効化する不具合 - ソフォス

ソフォスのハードディスク暗号化ソフト「Sophos Disk Encryption」に、Windowsの認証機能を無効化してしまう不具合が含まれていることがわかった。修正版が提供されている。

Windowsにおいて休止状態から復帰するとログオンする際に認証が求められるが、同製品をインストールすると認証せずに操作可能となる脆弱性「CVE-2014-2005」が存在するという。

影響を受けるのは、「Sophos Enterprise Console Ver. 5.1」「同5.2」「同5.2.1」「同5.2.1R2」に含まれる「Sophos Disk Encryption 5.61」。脆弱性を修正した「同5.2.2」が公開されているほか、回避策がアナウンスされている。

今回の脆弱性は、サイボウズが開発者であるソフォスへ報告。ソフォスが情報処理推進機構（IPA）に届け、修正にあたりJPCERTコーディネーションセンターが調整を行った。

サイボウズでは、5月にノートパソコンを紛失する事故が発生。その際に導入していた暗号化ソフトの不具合により、本来設定していた認証が機能せず、回収した同PCへ何者かがログオンした形跡が残っていたことを公表している。

（Security NEXT - 2014/06/24 ） ツイート

PR

関連記事

Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ
「Chrome」に30件の脆弱性 - 「クリティカル」が4件
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加