製品・ソフトウェアに関する情報

JVN脆弱性詳細

Bluetooth Stack for Windows by Toshiba および TOSHIBA Service Station に権限昇格の脆弱性

Title	Bluetooth Stack for Windows by Toshiba および TOSHIBA Service Station に権限昇格の脆弱性
Summary	株式会社東芝が提供する Bluetooth 制御ソフトウエアである Bluetooth Stack for Windows by Toshiba およびシステム管理アプリケーションソフトウエアである TOSHIBA Service Station には、引用符で囲まれていない Windows 検索パスに起因する権限昇格の脆弱性が存在します (CWE-428)。 CWE-428: Unquoted Search Path or Element (引用されない検索パスまたは要素) http://cwe.mitre.org/data/definitions/428.html
Possible impacts	ローカルユーザにより、細工されたアプリケーションを介して、権限を取得される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、各製品に対応した修正プログラムを適用してください。　* Bluetooth Stack for Windows by Toshiba v9.10.32(T) 　　http://dynabook.com/assistpc/download/modify/soft/btswt/index_j.htm 　* TOSHIBA Service Station v2.2.14 　　http://dynabook.com/assistpc/download/modify/soft/tssw7/index_j.htm
Publication Date	March 2, 2015, midnight
Registration Date	March 2, 2015, 2:25 p.m.
Last Update	March 3, 2015, 3:54 p.m.

Affected System

東芝

Bluetoooth Stack for Windows by Toshiba v9.10.27 およびそれ以前 (*1)

TOSHIBA Service Station v2.2.13 およびそれ以前 (*2)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-0884	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0884
National Vulnerability Database (NVD)
2	CVE-2015-0884	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0884

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Microsoft Developer Network
1	CreateProcess 関数	https://msdn.microsoft.com/ja-jp/library/cc429066.aspx
Toshiba
2	Toshiba Bluetooth Stack Security Update	http://www.support.toshiba.com/sscontent?contentId=4007185
3	Toshiba Service Station Security Update	http://www.support.toshiba.com/sscontent?contentId=4007187
東芝
4	株式会社東芝の告知ページ	http://dynabook.com/assistpc/info/2015/20150226.htm

その他

No	Name	URL
JVN
1	JVNVU#99205169	http://jvn.jp/vu/JVNVU99205169/index.html
US-CERT Vulnerability Note
2	VU#632140	http://www.kb.cert.org/vuls/id/632140

Change Log

No	Changed Details	Date of change
0	[2015年03月02日] 掲載 [2015年03月03日] ベンダ情報：東芝 (Toshiba Service Station Security Update) を追加ベンダ情報：東芝 (Toshiba Bluetooth Stack Security Update) を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-0884) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-0884

Summary	Unquoted Windows search path vulnerability in Toshiba Bluetooth Stack for Windows before 9.10.32(T) and Service Station before 2.2.14 allows local users to gain privileges via a Trojan horse application with a name composed of an initial substring of a path that contains a space character.
Publication Date	Feb. 28, 2015, 11:59 a.m.
Registration Date	Jan. 26, 2021, 2:45 p.m.
Last Update	Nov. 21, 2024, 11:23 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:toshiba:bluetooth_stack:9.10.27\(t\):::::::*
execution environment
1	cpe:2.3:o:microsoft:windows::::::::

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:toshiba:service_station::::::::			2.2.13

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/vu/JVNVU99205169/index.html
2	http://jvn.jp/vu/JVNVU99205169/index.html
3	http://www.kb.cert.org/vuls/id/632140	Third Party Advisory US Government Resource
4	http://www.kb.cert.org/vuls/id/632140	Third Party Advisory US Government Resource
5	http://www.securitytracker.com/id/1031825
6	http://www.securitytracker.com/id/1031825
7	http://www.support.toshiba.com/sscontent?contentId=4007185
8	http://www.support.toshiba.com/sscontent?contentId=4007185
9	http://www.support.toshiba.com/sscontent?contentId=4007187
10	http://www.support.toshiba.com/sscontent?contentId=4007187

Common Vulnerabilities List