JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月24日、「JVN#80288258: 複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性」において、ソニーが提供する複数製品のWindows用インストーラに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってインストーラを実行している権限で任意のコードを実行される危険性があるという。
この脆弱性は、インストーラがDLLを読み込む際の検索パスに問題があり、検索パスに含まれるディレクトリに存在する特定のDLLを読み込んでしまうというもの。攻撃者によって任意のコードを含んだDLLが置かれた場合、それを読み込んで実行してしまうことになる。
影響を受ける製品およびバージョンは次のとおり。
- Sony Audio USB Driver V1.10 およびそれ以前のインストーラ
- HAP Music Transfer Ver.1.3.0 およびそれ以前のインストーラ
なお、この脆弱性の影響を受けるのはインストーラの実行時だけであるため、製品がインストール済みの場合は再インストールする必要はない。
対策としては、開発元が提供する情報を参考にしてに、最新の手順に従ってインストールを実施することが挙げられている。