NVD脆弱性詳細
Exploit、PoC検索
CVE-2018-0690
概要

An unvalidated software update vulnerability in Music Center for PC version 1.0.02 and earlier could allow a man-in-the-middle attacker to tamper with an update file and inject executable files.

公表日 2018年11月16日0:29
登録日 2021年3月1日18:37
最終更新日 2024年11月21日12:38
CVSS3.0 : HIGH
スコア 7.5
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI)
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : MEDIUM
スコア 5.1
ベクター AV:N/AC:H/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 はい
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:sony:music_center_for_pc:*:*:*:*:*:*:*:* 1.0.02
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Music Center for PC にソフトウェアアップデート時のダウンロードファイル検証不備の脆弱性
タイトル Music Center for PC にソフトウェアアップデート時のダウンロードファイル検証不備の脆弱性
概要

ソニービデオ&サウンドプロダクツ株式会社が提供する Music Center for PC には、ソフトウェアアップデート時にダウンロードするファイルに対する検証処理に不備が存在します (CWE-669)。結果として、中間者攻撃 (man-in-the-middle attack) によって不正な実行ファイルがダウンロードされ、任意のコードが実行させられる可能性があります。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 電子の妖精 氏

想定される影響 遠隔の第三者によって、不正なファイルをダウンロードさせられたり、不正なプログラムを実行させられたりする可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、開発者のサイトから最新版のインストーラを直接ダウンロードしてアップデートしてください。
公表日 2018年10月9日0:00
登録日 2018年10月9日12:09
最終更新日 2019年7月26日15:56
影響を受けるシステム
ソニービデオ&サウンドプロダクツ株式会社
Music Center for PC バージョン 1.0.02 およびそれ以前
Music Center for PC バージョン 1.0.02 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
3 [2019年07月26日]
  参考情報:National Vulnerability Database (NVD) (CVE-2018-0690) を追加		 2019年7月26日15:54
1 [2018年10月09日]
  掲載		 2018年10月5日13:45
2 [2018年10月11日]
  「対策」を修正しました。		 2018年10月11日16:06
3 [2019年07月26日]
  参考情報:National Vulnerability Database (NVD) (CVE-2018-0690) を追加		 2019年7月26日15:54
1 [2018年10月09日]
  掲載		 2018年10月5日13:45
2 [2018年10月11日]
  「対策」を修正しました。		 2018年10月11日16:06