脆弱性ポータルサイト「JVN」は8月24日、ソニーが提供する製品のインストーラーにインストーラーにDLL読み込みに関する脆弱性(CVE-2021-20793)が存在することを明らかにした。対象商品は以下の通り。

Sony Audio USB Driver v1.10 およびそれ以前のバージョン
HAP Music Transferv v1.3.0 およびそれ以前のバージョン

これらの製品のインストーラーにはDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを誤って読み込んでしまうことがある。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性があるという。深刻度の評価はCVSS v3の基本値で「7.8」。

本脆弱性の影響を受けるのはインストーラーの起動時だけなので、すでに利用中の場合は対策の必要はない。アプリをセットアップする際は、公式サイトなど信頼できるWebサイトから最新のインストーラーを入手し、できれば空のフォルダーで実行するよう心掛けたい。

Impress
https://forest.watch.impress.co.jp/docs/news/1345843.html