Windows/Mac対応の定番イメージバックアップソフト「Acronis True Image」に脆弱性

“JVN”の脆弱性レポート（JVNVU#93495727）

　脆弱性対策情報ポータルサイト“JVN”は20日、バックアップソフト「Acronis True Image 2017」のアップデート機能に脆弱性が存在することを明らかにした。

　「Acronis True Image 2017」は、Windows/Macに対応した高機能なイメージバックアップツール。有償の製品ではあるが、機能性と操作性で高い評価を得ているこの分野の定番ソフトだ。

　“JVN”の脆弱性レポート（JVNVU#93495727）によると、「Acronis True Image 2017」の現行版（ビルド8053）およびそれ以前のバージョンのアップデート機能には、更新の確認や更新データの取得がHTTPS接続で保護されておらず、HTTP接続が利用されているという。Webサーバーから提供されるMD5ハッシュ値による改竄の検証は行われているものの、十分とは言えず、中間者（man-in-the-middle）攻撃により、管理者権限で任意のコードを実行される可能性がある。脆弱性の深刻度評価は“CVSS v3”で基本値“8.8（重要）”、“CVSS v2”で基本値“8.3（重要）”と判定されている。

　なお、20日現在、対策方法は不明。回避策としては、最新版が提供されても「Acronis True Image 2017」のアップデート機能を利用せず、手動で更新データを取得してアップデートを行うことが推奨されている。