【セキュリティ】複数のソニー製品に脆弱性 〜最悪の場合、インストーラーを実行している権限で任意のコードを実行される [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
脆弱性ポータルサイト「JVN」は8月24日、ソニーが提供する製品のインストーラーにインストーラーにDLL読み込みに関する脆弱性(CVE-2021-20793)が存在することを明らかにした。対象商品は以下の通り。
Sony Audio USB Driver v1.10 およびそれ以前のバージョン
HAP Music Transferv v1.3.0 およびそれ以前のバージョン
これらの製品のインストーラーにはDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを誤って読み込んでしまうことがある。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性があるという。深刻度の評価はCVSS v3の基本値で「7.8」。
本脆弱性の影響を受けるのはインストーラーの起動時だけなので、すでに利用中の場合は対策の必要はない。アプリをセットアップする際は、公式サイトなど信頼できるWebサイトから最新のインストーラーを入手し、できれば空のフォルダーで実行するよう心掛けたい。
Impress
https://forest.watch.impress.co.jp/docs/news/1345843.html だから、ちゃんとフルパス指定しなさいって言ったでしょ😡 Audio USB Driverだから
Dapじゃねえの >>1
DLして、そのまま実行すると
DLフォルダの有象無象を取り込む可能性があるって事? トリニトロンTV買って、取り付けて10分しないうちに
画面が中央に収束していってそのままブラックアウト
スタンバイーランプ付いて、タイマーなんてレベルじゃねーって
感動した遠い思ひ出(´・ω・`) サイドバイサイドは楽だからね。
でも、絶対パスにあるからといって安全の保証にならない気も。
署名されている事を条件にすればいいの? >本脆弱性の影響を受けるのはインストーラーの起動時だけなので、すでに利用中の場合は対策の必要はない。 昔rootkit勝手に仕込まれたがそれに比べたらかわいいもんだな PS4でぜんぜんオンラインで勝てないのは脆弱性のせいだったのか >>25
ソニースマホも
熱くなって自動停止する
電話もできないスマホは
ソニーが初めてだったわw >>13
Dynamic Link Library: DLLではなくてStatic Linkにすればよい
うっかりやるとインストーラーのサイズがLibrary分増えるから
気にせずに巨大ファイルをユーザーにダウンロードさせるか
必要な関数だけのLibraryを作るかどっちか >>9
インストール処理において、一部のライブラリに対して、システムライブラリじゃなくて
ユーザーのライブラリにリンクできるということだろ >>14
エクソペリアは、今回の脆弱性に関係ないな DLLをEXEと同じ場所にブッ込むなんて初期のアーカイバでは当たり前だったんだがな。
どうしてもやるならsystem32に入れてちょんまげってことになった。 ブラビア買おうと思ったけどもアクオスクワトロンにした遠い思い出
(´・ω・`) なんか大昔の外付けCDドライブの
デバイスドライバーでそんなのなかったっけ? >>40
win98の時でもsystemにいれてた気がするがそれ以前の話か?
いやでもよく考えたら確かにexeとdllが並んでた気もする 「およびそれ以上のバージョン」ってもの凄い頭の悪い表現過ぎて草 そんなDLL仕込まれてる時点で半分攻撃されてるだろ この手の話題で最悪の場合になったケースってあんの? ソニーのWebサイト、過去製品の掲載消しまくってて
過去製品のファームウェアとかまでダウンロードできなくなってるの何とかして ノラジョーンズのは東芝EMIだったと思うけどインストーラだったなあぁ
コピガのせいで買ったけど碌に聞かなかった苦い思い出 >>1
国賊ピ―ポ―
国賊ピ―ポ―
国賊ピ―ポ―
国賊ピ―ポ―
国賊ピ―ポ― ■ このスレッドは過去ログ倉庫に格納されています