| 概要 | Untrusted search path vulnerability in installers of the software for SDHC/SDXC Memory Card with embedded NFC functionality Software Update Tool V1.00.03 and earlier, SDHC Memory Card with embedded wireless LAN functionality FlashAir Configuration Software V3.0.2 and earlier, SDHC Memory Card with embedded wireless LAN functionality FlashAir Software Update tool (SD-WE series<W-03>) V3.00.01, SDHC Memory Card with embedded wireless LAN functionality FlashAir Software Update tool (SD-WD/WC series<W-02>) V2.00.03 and earlier, SDHC Memory Card with embedded wireless LAN functionality FlashAir Software Update tool (SD-WB/WL series) V1.00.04 and earlier, SDHC Memory Card with embedded TransferJet functionality Configuration Software V1.02 and earlier, SDHC Memory Card with embedded TransferJet functionality Software Update tool V1.00.06 and earlier allows remote attackers to gain privileges via a Trojan horse DLL in an unspecified directory. |
|---|---|
| 公表日 | 2017年4月29日1:59 |
| 登録日 | 2021年1月26日13:21 |
| 最終更新日 | 2024年11月21日12:22 |
| CVSS3.0 : HIGH | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : HIGH | |
| スコア | 9.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:C/I:C/A:C |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | はい |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.00.03 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.02 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 2.00.03 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 3.00.01 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.00.06 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 1.00.04 | ||||
| cpe:2.3:a:toshiba:flashair:*:*:*:*:*:*:*:* | 3.0.2 | ||||
| タイトル | 東芝製メモリカード関連ソフトウェアの複数のインストーラにおける DLL 読み込みに関する脆弱性 |
|---|---|
| 概要 | 株式会社東芝が提供する複数のメモリカードの設定ソフトウェアおよびソフトウェア更新ツールのインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NTT コミュニケーションズ株式会社 東内 裕二 氏 |
| 想定される影響 | プログラムを実行している権限で、任意のコードを実行される可能性があります。 |
| 対策 | [最新のインストーラを使用する] 開発者が提供する情報をもとに、最新のインストーラを使用してください。 なお、本脆弱性の影響を受けるのはインストーラの起動時のみのため、既存のユーザは製品をアップデートする必要はありません。 |
| 公表日 | 2017年4月14日0:00 |
| 登録日 | 2017年4月14日12:04 |
| 最終更新日 | 2017年12月21日17:48 |
| 東芝 |
| NFC搭載 SDHC/SDXCメモリカードソフトウェア更新ツール V1.00.03 およびそれ以前 |
| TransferJet(近接無線通信)搭載SDHCメモリカード ファームウェア更新ツール V1.00.06 およびそれ以前 |
| TransferJet(近接無線通信)搭載SDHCメモリカード 設定ソフトウェア V1.02 およびそれ以前 |
| 無線LAN搭載SDHCメモリカード FlashAir ソフトウェア更新ツール (SD-WB / WLシリーズ) V1.00.04 およびそれ以前 |
| 無線LAN搭載SDHCメモリカード FlashAir ソフトウェア更新ツール (SD-WD/WCシリーズ<W-02>) V2.00.03 およびそれ以前 |
| 無線LAN搭載SDHCメモリカード FlashAir ソフトウェア更新ツール (SD-WEシリーズ<W-03>) V3.00.01 |
| 無線LAN搭載SDHCメモリカード FlashAir 設定ソフトウエア V3.0.2 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年04月14日] 掲載 [2017年04月21日] 概要:内容を更新 [2017年12月21日] 参考情報:National Vulnerability Database (NVD) (CVE-2017-2149) を追加 |
2018年2月17日10:37 |