【リンク先抜粋】
　脆弱性ポータルサイト“JVN”は10月13日、Acronis製のバックアップソフトにDLL読み込みに関する脆弱性が存在すると発表した。Windows向け製品にのみ影響する。 　“JVN”が公開した脆弱性レポート（JVNVU#92288299）によると、セキュリティ欠陥が発見されたのは以下の3つの製品。 ・「Acronis True Image 2021」ビルド番号 32010 より前のバージョン ・「Acronis Cyber Backup 12.5」ビルド番号 16363 より前のバージョン ・「Acronis Cyber Protect 15」ビルド番号 24600 より前のバージョン 　これらの製品には「OpenSSL」コンポーネントのDLLを読み込む際の検索パスに問題があり、最悪の場合「OpenSSL」に偽装した悪意のあるDLLファイルを意図せず読み込み、システム権限で動作するサービスとして起動してしまう（CVE-2020-10138、CVE-2020-10139）。また、「Acronis True Image 2021」ではアプリケーションフォルダーに適切な権限が設定されておらず、管理者権限を持たないユーザーが悪意あるDLLを配置し、システム権限で読み込ませることのできる脆弱性（CVE-2020-10140）も存在する。 　これらの脆弱性は、最新版で解決されているとのこと。「Acronis True Image 2021」の場合、7日付けでリリースされた“ビルド 32010”への更新すればよい。 ソフトウェア情報 「Acronis True Image 2021 Update 1 for Windows」体験版【著作権者】Acronis International GmbH【対応OS】Windows/Mac【ソフト種別】体験版【バージョン】ビルド 32010（20/10/07）

続きはこちら

(2020/10/13)