ここから本文です

Windows/Mac対応の定番イメージバックアップソフト「Acronis True Image」に脆弱性

6/20(火) 16:54配信

Impress Watch

 脆弱性対策情報ポータルサイト“JVN”は20日、バックアップソフト「Acronis True Image 2017」のアップデート機能に脆弱性が存在することを明らかにした。

 「Acronis True Image 2017」は、Windows/Macに対応した高機能なイメージバックアップツール。有償の製品ではあるが、機能性と操作性で高い評価を得ているこの分野の定番ソフトだ。

 “JVN”の脆弱性レポート(JVNVU#93495727)によると、「Acronis True Image 2017」の現行版(ビルド8053)およびそれ以前のバージョンのアップデート機能には、更新の確認や更新データの取得がHTTPS接続で保護されておらず、HTTP接続が利用されているという。Webサーバーから提供されるMD5ハッシュ値による改竄の検証は行われているものの、十分とは言えず、中間者(man-in-the-middle)攻撃により、管理者権限で任意のコードを実行される可能性がある。脆弱性の深刻度評価は“CVSS v3”で基本値“8.8(重要)”、“CVSS v2”で基本値“8.3(重要)”と判定されている。

 なお、20日現在、対策方法は不明。回避策としては、最新版が提供されても「Acronis True Image 2017」のアップデート機能を利用せず、手動で更新データを取得してアップデートを行うことが推奨されている。

窓の杜,樽井 秀人

最終更新:6/20(火) 16:54
Impress Watch