Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性(JVN#13940333)2018年05月24日 13時13分00秒

数日前、PCの起動時にSONYのPlayMemories Homeのバージョンアップ画面がでて、半ば強制的にバージョンアップしたことがあった。いままでPlayMemories Homeが起動時にバージョンチェックしていたとは気づかなかったし、いままでバージョンが上がってもなんの知らせもなかったのでちょっとびっくりした。

そうしたら、今日IPAセキュリティセンターからJVN#13940333 Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性を知らせるメールが来た。

JVN#13940333
Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性

概要
Windows版 PlayMemories Home のインストーラには、DLL 読み込みに関する脆弱性が存在します。

影響を受けるシステム
Windows版 PlayMemories Home ver.5.5.01 およびそれ以前

詳細情報
ソニー株式会社が提供する Windows版 PlayMemories Home は画像管理ソフトウェアです。Windows版 PlayMemories Home のインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL ファイルを読み込んでしまう脆弱性 (CWE-427) が存在します。

想定される影響
インストーラを実行している権限で、任意のコードを実行される可能性があります。

対策方法
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する

なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。

ベンダ情報
ベンダ ステータス ステータス 最終更新日 ベンダの告知ページ
ソニー株式会社 該当製品あり 2018/05/24 ソニー株式会社 の告知ページ

ソニー株式会社 の告知ページ見に行っても13:10現在そんな告知はありませんな。SONY、大丈夫か。更新内容は以下が最新となっている。

2018/5/17 ver.5.5.01 - PlayMemories Home ver.5.5.00において、ILCE-9、ILCE-7RM3、ILCE-7M3、DSC-RX10M4で撮影したRAWファイル(.ARW)に評価(★マーク)を付けた場合に、RAWファイルが正しく保存されない事象を修正しました。

「インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する」「なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。」ということなので、インストール時にのみ気をつければいいということですな。新しいディレクトリ(フォルダ)を作ってそこにインストーラを置いて実行すればいいということですな。ただ、ダウンロードフォルダにダウンロードして実行するような習慣になっている場合には要注意。

なお、自分はSONY製のビデオカメラの撮影済み動画等の取り込みとGPSロガーGPS-CS1KでGPS Image Trackerを使うためにPlayMemories Homeを使っている。ただ、GPS-CS1Kの感度が悪くて位置情報が正確でないのと、ログの形式がSONY独自仕様なので、最近はGPS Image Trackerを使っていないが。

【追記】msconfigでシステム構成の「スタートアップ」にある、PMBVolumeWatcher.exeのチェックを外すと、PlayMemories Homeが起動してすぐに不正終了するようになっった(ver.5.5.00とver.5.5.01ともに)。強制アップデートが掛かる以前はチェックを外したままで普通に使えていたのに。チェックを入れておくと問題ない(何も触っていなければチェックは入っている)。また、チェックを外していたver.5.5.00の方には強制アップデートは来なかった。【追記ここまで】

【関連追記:2018年5月25日】SONY PlayMemories Home 3.0はまだインストールすべきでない ― 2014年01月26日


いただいたコメントのお返事はお待ちください。m(_ _)m

コメント

_ みっち ― 2018年05月27日 11時31分23秒

はぁ、みっちはSonyユーザーですが、PlayMemories Homeは使ってません。というか、インストールもしてません。
α6000を所有していた頃、一度インストールしたことがありますが、どーも挙動がトロいというか、肌に合わなくてアンインストールし、以来使ってないのです。
カメラはSonyのα7RIIIとRX100M3ですが、RAW現像でSony純正のソフトが必要なときは、Imaging Edgeを使います。これはPlayMemories Homeとは全く別のソフトです。
日常的には、Phase OneのCapture One Express for Sonyを使っています。これも無料で使えます。

_ Haniwa ― 2018年05月31日 11時26分52秒

みっち様

お返事が遅れてすみません。m(_ _)m

>α6000を所有していた頃、一度インストールしたことがありますが、どーも挙動がトロいというか、肌に合わなくてアンインストールし、以来使ってないのです。

一時激重でしたが、激重以前も、ハードディスク内の画像をずっとサーチしていて挙動のよろしからぬソフトでした。
基本的にユーザーのことをあまり考えていないソフトだと思います。
いまでもこのようなセキュリティ上の問題を配布ページできちんと告知していないことからもSONYの姿勢がよく分かると思います。
SONYのビデオを使っていなかったら決して使うことのないソフトでしょうね。

>カメラはSonyのα7RIIIとRX100M3ですが、RAW現像でSony純正のソフトが必要なときは、Imaging Edgeを使います。これはPlayMemories Homeとは全く別のソフトです。
>日常的には、Phase OneのCapture One Express for Sonyを使っています。これも無料で使えます。

いちど試してみます。ありがとうございます。

PlayMemories Homeは、動画のコマ送り再生に使っています。そんな機能はPlayMemories Homeにはないのですが、動画から写真の切り出しをするときにコマ送りができるのです。それを利用しています。

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
私がよく言う「ニコンはレンズの○○環を無くすな」の○○とは?ツイッター@Haniwa_Japan参照

コメント:

トラックバック

Google
WWW を検索 haniwa.asablo.jp を検索
asahi-net.or.jp/~sp5j-hys/ を検索