トヨタ自動車の故障診断ツールに脆弱性 - ECU間の通信に判明
トヨタ自動車が提供する自動車の故障診断ツール「Global TechStream(GTS)」に脆弱性が含まれていることが明らかとなった。自動車など接続したコネクタ経由で悪用されるおそれがあるという。
同ソフトは、国内外でトヨタ車を扱うディーラーや修理工場などで利用されている故障を診断するためのツール。「同15.10.032」および以前のバージョンにバッファオーバーフローの脆弱性「CVE-2020-5610」が明らかとなった。
車両において故障診断に利用する「OBD2コネクタ」を通じて「ECU(Electronic Control Unit)」と通信を行った際、細工したデータを受信するとバッファオーバーフローが生じ、任意のコードを実行されたり、サービス拒否に陥るおそれがあるという。共通脆弱性評価システムであるCVSSv3のベーススコアは「4.1」。
ラックの北川智也氏が発見し、情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。トヨタ自動車では脆弱性を修正したアップデートを提供している。
(Security NEXT - 2020/07/30 )
ツイート
PR
関連記事
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
マルウェア対策ソフト「ClamAV」に複数脆弱性 - Cisco製品にも影響
「Firefox」にメモリ破壊の脆弱性 - 任意コード実行のおそれ
「Cisco Unified CM」のSSRF脆弱性、悪用に注意
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
