Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性(JVN#13940333)2018年05月24日 13時13分00秒

数日前、PCの起動時にSONYのPlayMemories Homeのバージョンアップ画面がでて、半ば強制的にバージョンアップしたことがあった。いままでPlayMemories Homeが起動時にバージョンチェックしていたとは気づかなかったし、いままでバージョンが上がってもなんの知らせもなかったのでちょっとびっくりした。

そうしたら、今日IPAセキュリティセンターからJVN#13940333 Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性を知らせるメールが来た。

JVN#13940333
Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性

概要
Windows版 PlayMemories Home のインストーラには、DLL 読み込みに関する脆弱性が存在します。

影響を受けるシステム
Windows版 PlayMemories Home ver.5.5.01 およびそれ以前

詳細情報
ソニー株式会社が提供する Windows版 PlayMemories Home は画像管理ソフトウェアです。Windows版 PlayMemories Home のインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL ファイルを読み込んでしまう脆弱性 (CWE-427) が存在します。

想定される影響
インストーラを実行している権限で、任意のコードを実行される可能性があります。

対策方法
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する

なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。

ベンダ情報
ベンダ ステータス ステータス 最終更新日 ベンダの告知ページ
ソニー株式会社 該当製品あり 2018/05/24 ソニー株式会社 の告知ページ

ソニー株式会社 の告知ページ見に行っても13:10現在そんな告知はありませんな。SONY、大丈夫か。更新内容は以下が最新となっている。

2018/5/17 ver.5.5.01 - PlayMemories Home ver.5.5.00において、ILCE-9、ILCE-7RM3、ILCE-7M3、DSC-RX10M4で撮影したRAWファイル(.ARW)に評価(★マーク)を付けた場合に、RAWファイルが正しく保存されない事象を修正しました。

「インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する」「なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。」ということなので、インストール時にのみ気をつければいいということですな。新しいディレクトリ(フォルダ)を作ってそこにインストーラを置いて実行すればいいということですな。ただ、ダウンロードフォルダにダウンロードして実行するような習慣になっている場合には要注意。

なお、自分はSONY製のビデオカメラの撮影済み動画等の取り込みとGPSロガーGPS-CS1KでGPS Image Trackerを使うためにPlayMemories Homeを使っている。ただ、GPS-CS1Kの感度が悪くて位置情報が正確でないのと、ログの形式がSONY独自仕様なので、最近はGPS Image Trackerを使っていないが。

【追記】msconfigでシステム構成の「スタートアップ」にある、PMBVolumeWatcher.exeのチェックを外すと、PlayMemories Homeが起動してすぐに不正終了するようになっった(ver.5.5.00とver.5.5.01ともに)。強制アップデートが掛かる以前はチェックを外したままで普通に使えていたのに。チェックを入れておくと問題ない(何も触っていなければチェックは入っている)。また、チェックを外していたver.5.5.00の方には強制アップデートは来なかった。【追記ここまで】

【関連追記:2018年5月25日】SONY PlayMemories Home 3.0はまだインストールすべきでない ― 2014年01月26日


いただいたコメントのお返事はお待ちください。m(_ _)m

キヤノン、EOS唯一のフィルム一眼レフカメラ「EOS-1v」を販売終了(デジカメWatch)2018年05月31日 00時00分00秒

 写真は記事とは関係ない。ラグビーワールドカップ2019告知(横浜市西区):Ricoh GR、18.3mm(35mm版28mm相当)、F3.2、1/50秒、、プログラムAE、ISO-AUTO(ISO 100)、AWB、画像設定:スタンダード、マルチAF

キヤノン、EOS唯一のフィルム一眼レフカメラ「EOS-1v」を販売終了 修理対応は2025年10月31日まで(デジカメWatch)なのだそうだ。

フィルム一眼レフカメラ「EOS-1v」販売終了と修理対応期間延長に関するお知らせ(キヤノン)をみると不思議なことが書いてある。

また、本商品をご使用いただくお客さまへのサービス・サポート向上を目的として、弊社修理サービス規約の修理対応期間後も、2025年10月31日まで修理対応を行います。

※ 弊社修理サービス規約の修理対応期間(2020年10月31日)以降は、部品の在庫状況により修理をお断りする場合がございます。

キヤノンの修理サービス規約の修理対応期間だと2020年10月31日までなのだが、修理サービス規約の修理対応期間後も、2025年10月31日まで修理対応を行うと。

キヤノンってカメラの販売終了後2年しか修理対応してくれないんだっけ?と調べてみたら、公益社団法人 日本写真家協会(JAPAN PROFESSIONAL PHOTOGRAPHERS SOCIETY)デジタル機材の修理対応期間を探る(出版広報委員会委員・関 行宏 氏)という記事によると、キヤノンは製造終了後から原則として7年間なのだそうだ。日本写真家協会のサイトって、どうしてテキストをコピペできないようにしているんだろう?そんなのソースからコピーすれば意味ないのに。上から透明の画像を被せるのが好きなのか?そのくせPDFはテキストをコピーし放題だぞ。

とすると、修理サービス規約の修理対応期間だと2020年10月31日までということは、その7年前の2013年10月にはEOS-1vの製造は終了していたということになる。この5年間は在庫を売っていただけだったのか。

たしか、京セラがカメラ事業から撤退するときにもそんなことがあった記憶がある。CONTAX G1とG2は併売されていたのだが、実はG1はとっくに製造が終了していて、カメラ事業撤退するときに急に短い修理対応期間が提示されたことがあった。実際には修理対応期間をかなりすぎても部品がある限り対応してくれたのでよかったのだが。
CONTAX G1を京セラに修理に出した ― 2010年08月27日
CONTAX G1がシャッターレリーズボタン修理から戻ってきた ― 2010年09月06日参照。

今回のキヤノンの修理対応延長は、製造終了後7年だったものを、販売終了7年後にしてくれたということになる。販売終了が製造終了後5年経ってからという通常とはかなり違う状況だったからだろう。常識的な対応でよいですな。

ニコンは、フィルムカメラとしてF6とFM10がラインナップされているが、これももう製造していなくて在庫のみの可能性はあるなぁ。FM10で使えないレンズが増えているのは仕方ないにしても、電気カメラのF6でも使えないレンズがどんどん増えてきているのはどうしたものか。ここらへんがキヤノンEOSと違うところだなぁ。まあ、ニコンのレンズ買うなら、絞り環付いたもの、特にMFレンズに限るということだな。【期間限定】MF旧製品メンテナンスサービスを見ると、第二弾は2018年 9月3日(月)~2018年12月28日(金)に受け付けるようだ。


写真は記事とは関係ない。ラグビーワールドカップ2019告知(横浜市西区):Ricoh GR、18.3mm(35mm版28mm相当)、F3.2、1/50秒、、プログラムAE、ISO-AUTO(ISO 100)、AWB、画像設定:スタンダード、マルチAF

フィルムの作例でなくてすまん。2019年9月20日に開幕するラグビーワールドカップ2019日本大会を告知する垂れ幕。ガラス越しに撮影。

Google
WWW を検索 haniwa.asablo.jp を検索
asahi-net.or.jp/~sp5j-hys/ を検索