Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性(JVN#13940333) ― 2018年05月24日 13時13分00秒
数日前、PCの起動時にSONYのPlayMemories Homeのバージョンアップ画面がでて、半ば強制的にバージョンアップしたことがあった。いままでPlayMemories Homeが起動時にバージョンチェックしていたとは気づかなかったし、いままでバージョンが上がってもなんの知らせもなかったのでちょっとびっくりした。
そうしたら、今日IPAセキュリティセンターからJVN#13940333 Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性を知らせるメールが来た。
JVN#13940333
Windows版 PlayMemories Home のインストーラにおける DLL 読み込みに関する脆弱性概要
Windows版 PlayMemories Home のインストーラには、DLL 読み込みに関する脆弱性が存在します。影響を受けるシステム
Windows版 PlayMemories Home ver.5.5.01 およびそれ以前詳細情報
ソニー株式会社が提供する Windows版 PlayMemories Home は画像管理ソフトウェアです。Windows版 PlayMemories Home のインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL ファイルを読み込んでしまう脆弱性 (CWE-427) が存在します。想定される影響
インストーラを実行している権限で、任意のコードを実行される可能性があります。対策方法
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する
なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。
ベンダ情報
ベンダ ステータス ステータス 最終更新日 ベンダの告知ページ
ソニー株式会社 該当製品あり 2018/05/24 ソニー株式会社 の告知ページ
ソニー株式会社 の告知ページ見に行っても13:10現在そんな告知はありませんな。SONY、大丈夫か。更新内容は以下が最新となっている。
2018/5/17 ver.5.5.01 - PlayMemories Home ver.5.5.00において、ILCE-9、ILCE-7RM3、ILCE-7M3、DSC-RX10M4で撮影したRAWファイル(.ARW)に評価(★マーク)を付けた場合に、RAWファイルが正しく保存されない事象を修正しました。
「インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認する」「なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。」ということなので、インストール時にのみ気をつければいいということですな。新しいディレクトリ(フォルダ)を作ってそこにインストーラを置いて実行すればいいということですな。ただ、ダウンロードフォルダにダウンロードして実行するような習慣になっている場合には要注意。
なお、自分はSONY製のビデオカメラの撮影済み動画等の取り込みとGPSロガーGPS-CS1KでGPS Image Trackerを使うためにPlayMemories Homeを使っている。ただ、GPS-CS1Kの感度が悪くて位置情報が正確でないのと、ログの形式がSONY独自仕様なので、最近はGPS Image Trackerを使っていないが。
【追記】msconfigでシステム構成の「スタートアップ」にある、PMBVolumeWatcher.exeのチェックを外すと、PlayMemories Homeが起動してすぐに不正終了するようになっった(ver.5.5.00とver.5.5.01ともに)。強制アップデートが掛かる以前はチェックを外したままで普通に使えていたのに。チェックを入れておくと問題ない(何も触っていなければチェックは入っている)。また、チェックを外していたver.5.5.00の方には強制アップデートは来なかった。【追記ここまで】
【関連追記:2018年5月25日】SONY PlayMemories Home 3.0はまだインストールすべきでない ― 2014年01月26日
いただいたコメントのお返事はお待ちください。m(_ _)m
最近のコメント