Yahoo!ニュース

IDでもっと便利に新規取得

ログイン

Acronis製のバックアップソフトにDLL読み込みに関する脆弱性 ~Windows向け製品にのみ

配信

  • この記事についてツイート
  • この記事についてシェア
Impress Watch

 脆弱性ポータルサイト“JVN”は10月13日、Acronis製のバックアップソフトにDLL読み込みに関する脆弱性が存在すると発表した。Windows向け製品にのみ影響する。  “JVN”が公開した脆弱性レポート(JVNVU#92288299)によると、セキュリティ欠陥が発見されたのは以下の3つの製品。 ・「Acronis True Image 2021」ビルド番号 32010 より前のバージョン ・「Acronis Cyber Backup 12.5」ビルド番号 16363 より前のバージョン ・「Acronis Cyber Protect 15」ビルド番号 24600 より前のバージョン  これらの製品には「OpenSSL」コンポーネントのDLLを読み込む際の検索パスに問題があり、最悪の場合「OpenSSL」に偽装した悪意のあるDLLファイルを意図せず読み込み、システム権限で動作するサービスとして起動してしまう(CVE-2020-10138、CVE-2020-10139)。また、「Acronis True Image 2021」ではアプリケーションフォルダーに適切な権限が設定されておらず、管理者権限を持たないユーザーが悪意あるDLLを配置し、システム権限で読み込ませることのできる脆弱性(CVE-2020-10140)も存在する。  これらの脆弱性は、最新版で解決されているとのこと。「Acronis True Image 2021」の場合、7日付けでリリースされた“ビルド 32010”への更新すればよい。 ソフトウェア情報 「Acronis True Image 2021 Update 1 for Windows」体験版【著作権者】Acronis International GmbH【対応OS】Windows/Mac【ソフト種別】体験版【バージョン】ビルド 32010(20/10/07)

窓の杜,樽井 秀人

【関連記事】