製品・ソフトウェアに関する情報
Savitech 製 USB オーディオドライバがルート CA 証明書を許可なくインストールする問題
Title Savitech 製 USB オーディオドライバがルート CA 証明書を許可なくインストールする問題
Summary

Savitech が提供する一部の USB オーディオ機器向けドライバは、Savitech のルート CA 証明書を、ユーザーの許可なく Windows の信頼されたルート証明機関ストアにインストールします。 Savitech は、多くのオーディオ製品向け USB オーディオドライバを提供しています。Savitech ドライバパッケージは、一部のバージョンにおいて、Savitech のルート CA 証明書をユーザの許可なく Windows の信頼されたルート証明機関ストアにインストールします。

Possible impacts Savitech の秘密鍵を攻撃者が入手した場合、ウェブサイトやその他のサービスのなりすまし、悪意のあるソフトウェアの配布、中間者攻撃による暗号化されたデータやネットワークトラフィックの復号が行われる可能性があります。
Solution

[Savitech のルート CA 証明書を削除する] 現在のところ、Savitech の秘密鍵が漏えいしたという報告はありませんが、Savitech ドライバパッケージをインストールしたユーザーに対しては、以下のルート CA 証明書をシステムから削除することを推奨します。   * SaviAudio root certificate #1   有効期間: Thursday, May 31, 2012 - Tuesday, December 30, 2036   シリアル番号: 579885da6f791eb24de819bb2c0eeff0   Thumbprint: cb34ebad73791c1399cb62bda51c91072ac5b050   * SaviAudio root certificate #2   有効期間: Thursday, December 31, 2015 - Tuesday, December 30, 2036   シリアル番号: 972ed9bce72451bb4bd78bfc0d8b343c   Thumbprint: 23e50cd42214d6252d65052c2a1a591173daace5 Savitech によると、この証明書は Windows XP 向けに用意されたものであり、Windows XP より後の OS では不要のものでしたが、ドライバパッケージから削除されていませんでした。この問題は CVE-2017-9758 として登録されています。 [アップデートする] Savitech のルート CA 証明書を削除した後、最新の Savitech ドライバパッケージをインストールしてください。

Publication Date Nov. 2, 2017, midnight
Registration Date Nov. 7, 2017, 12:23 p.m.
Last Update March 14, 2018, 2:06 p.m.
CVSS3.0 : 重要
Score 8.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
CVSS2.0 : 危険
Score 8.8
Vector AV:N/AC:M/Au:N/C:C/I:C/A:N
Affected System
SAVITECH CORP
Savitech ドライバ パッケージ version 2.8.0.3 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2017年11月07日]
  掲載
[2017年11月09日]
  想定される影響:内容を更新 
  参考情報:関連文書 (Inaudible Subversion - Did your Hi-Fi just subvert your PC?) を追加
Feb. 17, 2018, 10:37 a.m.
1 [2018年03月14日]
  参考情報:National Vulnerability Database (NVD) (CVE-2017-9758) を追加
March 14, 2018, 10:36 a.m.

NVD Vulnerability Information
CVE-2017-9758
Summary

Savitech driver packages for Windows silently install a self-signed certificate into the Trusted Root Certification Authorities store, aka "Inaudible Subversion."

Publication Date Nov. 10, 2017, 11:29 a.m.
Registration Date Jan. 26, 2021, 1:31 p.m.
Last Update Nov. 21, 2024, 12:36 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:savitech-ic:savitech_driver:*:*:*:*:*:*:*:* 2.8.0.3
Related information, measures and tools
Common Vulnerabilities List