東芝は26日、同社製Bluetooth制御ソフトウェア「Bluetooth Stack for Windows by Toshiba」およびシステム管理アプリケーションソフトウェア「TOSHIBA Service Station」にセキュリティに、深刻な脆弱性が存在することを発表した。同社は至急修正プログラムを適用するよう呼びかけている。
JPCERTコーディネーションセンターと独立行政法人 情報処理推進機構が運営する脆弱性対策情報ポータル「JVN」によると、今回発覚したのは、引用符で囲まれていないWindows検索パスに起因する権限昇格の脆弱性。物理アクセスやローカル環境から、細工されたアプリケーションを介して権限を取得される可能性がある。
この脆弱性を悪用すると、攻撃者がPCを不正制御できるため、不正プログラムのインストールやデータの変更・削除などが実行される恐れがある。
対象プログラムは、「Bluetooth Stack for Windows by Toshiba」v9.10.27(T)およびそれ以前のバージョン、「TOSHIBA Service Station」v2.2.13およびそれ以前のバージョン。
該当ソフトウェアは、東芝製PC「dynabook」シリーズにプリインストールされているほか、周辺機器メーカーから発売されている、BluetoothアダプタなどのBluetooth製品にも搭載されている場合がある。他社製Bluetooth対応機器の場合は、ソフトのバージョン末尾に(T)の表記がない。同社は、他社製Bluetooth機器における修正プログラムの入手方法は、購入元への問い合わせを推奨する。
対象ソフトのバージョン番号の確認は、「コントロールパネル」から「プログラムのアンインストール」を開き、表示されたソフトウェアの中から「Bluetooth Stack for Windows by Toshiba」「TOSHIBA Service Station」を選択することで確認可能。修正プログラムは、同社公式サイトからダウンロードできる。