ニュース

「VAIO Update」に複数の脆弱性 ~任意の実行ファイルが管理者権限で実行される

2003年1月から2014年1月までに発売された“VAIO”に影響

ソニーによるアナウンス

 脆弱性対策情報ポータルサイト“JVN”は6月21日、脆弱性レポート(JVN#13555032)を公開した。ソニー(株)が提供するソフト「VAIO Update」に複数の脆弱性が存在するという。

 「VAIO Update」は、ソニー製PC“VAIO”に搭載されているソフトウェアアップデートツール。v7.3.0.03150およびそれ以前のバージョンには、不適切な認可処理により任意の実行ファイルが管理者権限で実行される問題(CVE-2019-5981)や、ダウンロードファイルの検証不備により中間者(man-in-the-middle)攻撃を受け、不正なファイルをダウンロードさせられたり、不正なプログラムを実行させられたりする欠陥(CVE-2019-5982)が存在する。脆弱性の深刻度は“CVSS v3”の基本値で、前者が“7.8”、後者が“7.5”。

 ソニーによると、2003年1月から2014年1月までに発売された“VAIO”がこの問題の影響を受けるとのこと。インターネットに接続した状態で「VAIO Update」を起動すると、自動でv7.4.0.15200以降が適用され、問題は解決されるという。