JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月24日、「JVN#80288258: 複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性」において、ソニーが提供する複数製品のWindows用インストーラに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってインストーラを実行している権限で任意のコードを実行される危険性があるという。

この脆弱性は、インストーラがDLLを読み込む際の検索パスに問題があり、検索パスに含まれるディレクトリに存在する特定のDLLを読み込んでしまうというもの。攻撃者によって任意のコードを含んだDLLが置かれた場合、それを読み込んで実行してしまうことになる。

影響を受ける製品およびバージョンは次のとおり。

  • Sony Audio USB Driver V1.10 およびそれ以前のインストーラ
  • HAP Music Transfer Ver.1.3.0 およびそれ以前のインストーラ

なお、この脆弱性の影響を受けるのはインストーラの実行時だけであるため、製品がインストール済みの場合は再インストールする必要はない。

対策としては、開発元が提供する情報を参考にしてに、最新の手順に従ってインストールを実施することが挙げられている。

  • JVN#80288258: 複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性

    JVN#80288258: 複数のソニー製品のインストーラにおける DLL 読み込みに関する脆弱性