| Summary | Untrusted search path vulnerability in installers of the software for SDHC/SDXC Memory Card with embedded NFC functionality Software Update Tool V1.00.03 and earlier, SDHC Memory Card with embedded wireless LAN functionality FlashAir Configuration Software V3.0.2 and earlier, SDHC Memory Card with embedded wireless LAN functionality FlashAir Software Update tool (SD-WE series<W-03>) V3.00.01, SDHC Memory Card with embedded wireless LAN functionality FlashAir Software Update tool (SD-WD/WC series<W-02>) V2.00.03 and earlier, SDHC Memory Card with embedded wireless LAN functionality FlashAir Software Update tool (SD-WB/WL series) V1.00.04 and earlier, SDHC Memory Card with embedded TransferJet functionality Configuration Software V1.02 and earlier, SDHC Memory Card with embedded TransferJet functionality Software Update tool V1.00.06 and earlier allows remote attackers to gain privileges via a Trojan horse DLL in an unspecified directory. |
|---|---|
| Publication Date | April 29, 2017, 1:59 a.m. |
| Registration Date | Jan. 26, 2021, 1:21 p.m. |
| Last Update | Nov. 21, 2024, 12:22 p.m. |
| CVSS3.0 : HIGH | |
| スコア | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : HIGH | |
| Score | 9.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:C/I:C/A:C |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.00.03 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.02 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 2.00.03 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 3.00.01 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.00.06 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.00.04 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 3.0.2 | ||||
| Title | 東芝製メモリカード関連ソフトウェアの複数のインストーラにおける DLL 読み込みに関する脆弱性 |
|---|---|
| Summary | 株式会社東芝が提供する複数のメモリカードの設定ソフトウェアおよびソフトウェア更新ツールのインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NTT コミュニケーションズ株式会社 東内 裕二 氏 |
| Possible impacts | プログラムを実行している権限で、任意のコードを実行される可能性があります。 |
| Solution | [最新のインストーラを使用する] 開発者が提供する情報をもとに、最新のインストーラを使用してください。 なお、本脆弱性の影響を受けるのはインストーラの起動時のみのため、既存のユーザは製品をアップデートする必要はありません。 |
| Publication Date | April 14, 2017, midnight |
| Registration Date | April 14, 2017, 12:04 p.m. |
| Last Update | Dec. 21, 2017, 5:48 p.m. |
| 東芝 |
| NFC搭載 SDHC/SDXCメモリカードソフトウェア更新ツール V1.00.03 およびそれ以前 |
| TransferJet(近接無線通信)搭載SDHCメモリカード ファームウェア更新ツール V1.00.06 およびそれ以前 |
| TransferJet(近接無線通信)搭載SDHCメモリカード 設定ソフトウェア V1.02 およびそれ以前 |
| 無線LAN搭載SDHCメモリカード FlashAir ソフトウェア更新ツール (SD-WB / WLシリーズ) V1.00.04 およびそれ以前 |
| 無線LAN搭載SDHCメモリカード FlashAir ソフトウェア更新ツール (SD-WD/WCシリーズ<W-02>) V2.00.03 およびそれ以前 |
| 無線LAN搭載SDHCメモリカード FlashAir ソフトウェア更新ツール (SD-WEシリーズ<W-03>) V3.00.01 |
| 無線LAN搭載SDHCメモリカード FlashAir 設定ソフトウエア V3.0.2 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2017年04月14日] 掲載 [2017年04月21日] 概要:内容を更新 [2017年12月21日] 参考情報:National Vulnerability Database (NVD) (CVE-2017-2149) を追加 |
Feb. 17, 2018, 10:37 a.m. |