お客様各位
東芝デバイス&ストレージ株式会社

TDSCSA00699-01:
CANVIOシリーズのWindows 用パスワードツールによって登録されるWindows サービスの実行ファイルパスが引用符で囲まれていない脆弱性について

概要

弊社製CANVIOシリーズ(以下、「対象製品」といいます。)のWindows 用パスワードツール(以下、「対象ソフトウェア」)に脆弱性が存在することがわかりました。対象ソフトウェアは対象製品に搭載および弊社サイトで公開しておりました。

今般、脆弱性の対策が完了しましたので、最新版の対象ソフトウェアをリリースいたします。

該当製品の確認方法

対象製品に搭載および2020年3月10日以前にダウンロードされた以下のソフトウェアに脆弱性があります。

  • Windows 用パスワードツール バージョン1.20.6620以前

この対象ソフトウェアは下記の対象製品と共に使用されることを想定しておりますが、仮に対象製品以外の製品をご使用のお客様がこの対象ソフトウェアをインストールされた場合は、下記「対策方法」の注記に従った対応が必要になります。

製品名 容量 型番
CANVIO™ PREMIUM
CANVIO
PREMIUM
3TB ダークグレー
メタリック
HD-MB30TY /
HD-MA30TY
シルバー
メタリック
HD-MB30TS /
HD-MA30TS
2TB ダークグレー
メタリック
HD-MB20TY /
HD-MA20TY
シルバー
メタリック
HD-MB20TS /
HD-MA20TS
1TB ダークグレー
メタリック
HD-MB10TY /
HD-MA10TY
シルバー
メタリック
HD-MB10TS /
HD-MA10TS
CANVIO™ SLIM
CANVIO
SLIM
1TB HD-SB10TK
シルバー HD-SB10TS
500GB HD-SB50GK /
HD-SA50GK
シルバー HD-SB50GS /
HD-SA50GS

脆弱性の内容

対象ソフトウェアによって登録されるWindows サービスの実行ファイルパスが引用符で囲まれていない脆弱性が存在することが判明しました。

脆弱性がもたらす脅威

空白文字を含むパスの最初の部分から構成される名前を持つアプリケーションを介して、当該サービスの動作に使われる権限を取得される可能性があります。

対策方法

<注記>

  • パスワード設定をしている場合は、アンインストール前に、必ずパスワードを削除してください。
  • 対象製品以外の製品をご使用のお客様が対象ソフトウェアをインストールされていた場合は、上記対象ソフトウェアのアンインストールおよびインストーラの削除のみを行ってください。

対象ソフトウェアのアンインストール バージョン1.20.6620以前の対象ソフトウェアをインストールされているパソコンから、そのソフトウェアをアンインストールしてください。

対象ソフトウェアのインストーラの削除 対象製品およびパソコンから対象ソフトウェアのインストーラを全て削除してください。

最新版の対象ソフトウェアのインストール 最新版の対象ソフトウェアをWindows PCに新たにインストールする場合は、弊社サイトで公開しております、以下の最新版のインストーラをご使用くださいますようお願いいたします。

ソフトウェア名称 ソフトウェア
バージョン
リリース日 更新分類 対応OS ソフトウェア
Windows 用
パスワードツール
1.40.0410 2020年4月28日 重要 Windows 8.1
(32bit & 64bit)

Windows 10
Version 1809 /
Version 1903 /
Version 1909
(32bit & 64bit)

ソフトウェアのサポートについて 対象ソフトウェアを搭載した製品は2017年2月に生産を終了しており、対象ソフトウェアは、最新版を含めて、新バージョンのOS対応や機能改善等の予定がなく、将来のOSバージョンアップにより、動作しなくなる可能性がありますので、弊社として継続してのご使用は推奨いたしません。

更新履歴

2020年4月28日 最新版

本件に関するお問い合わせ先

東芝デバイス&ストレージ株式会社
東芝パーソナルストレージサポートセンター

電話

フリーダイヤル0120-057811

受付時間 9:00~12:00 / 13:00~18:00
(日・祝日および12月31日~1月3日除く)

お問い合わせいただく前のご注意

  • お客様からいただく個人情報は、東芝または東芝の子会社・関連会社、および、協力会社が行う本件の対応のために利用させていただきます。
  • 利用目的の範囲内で、お客様の個人情報を委託業者に預託することがございますが、弊社と同等の管理を行わせます。
  • お客様は、お客様ご本人の個人情報について、開示、訂正、削除をご請求いただけます。その際は上記お問い合わせ先までご連絡ください。
  • お問い合わせ窓口の個人情報の取扱全般に関する考え方をご覧になりたい方は東芝の個人情報保護方針のページをご覧ください。
  • 16歳未満のお客様は、保護者の同意を得た上でお問い合わせください。