Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「VAIO」向けアップデートソフトに複数の脆弱性

ソニーが2003年1月から2014年1月までに販売したVAIO製パソコンに搭載されたアップデートソフトに複数の脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、ドライバやソフトウェアのアップデート機能を提供するソニー製ソフトウェア「VAIO Update」に複数の脆弱性が含まれていることが明らかになったもの。

任意の実行ファイルを管理者権限で実行する脆弱性「CVE-2019-5981」や、ダウンロードファイルの検証処理に問題があり、中間者攻撃を受けた際、不正なファイルを取得、実行するおそれがある脆弱性「CVE-2019-5982」が存在する。

これら脆弱性は、Device Securityが情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。

これら脆弱性は「VAIO Update 7.4.0.15200」以降で修正されているという。今回、同ソフトにダウンロードファイルの検証不備における脆弱性が明らかとなっているが、同社は修正版へのアップデート方法について、インターネットへ接続した状態で同ソフトを起動することにより適用できると説明している。

(Security NEXT - 2019/06/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
リモートアクセスツール「UltraVNC」に複数の脆弱性
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「IBM WebSphere Application Server」の管理画面に複数脆弱性
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性