複数のソニー製品に脆弱性 ～最悪の場合、インストーラーを実行している権限で任意のコードを実行される

「JVN」が公開した脆弱性レポート（JVN#80288258）

　脆弱性ポータルサイト「JVN」は8月24日、ソニーが提供する製品のインストーラーにインストーラーにDLL読み込みに関する脆弱性（CVE-2021-20793）が存在することを明らかにした。対象商品は以下の通り。

• Sony Audio USB Driver v1.10 およびそれ以前のバージョン
• HAP Music Transferv v1.3.0 およびそれ以前のバージョン

　これらの製品のインストーラーにはDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを誤って読み込んでしまうことがある。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性があるという。深刻度の評価はCVSS v3の基本値で「7.8」。

　本脆弱性の影響を受けるのはインストーラーの起動時だけなので、すでに利用中の場合は対策の必要はない。アプリをセットアップする際は、公式サイトなど信頼できるWebサイトから最新のインストーラーを入手し、できれば空のフォルダーで実行するよう心掛けたい。