独立行政法人 情報処理推進機構(略称:IPA)は4日、ソニー株式会社が提供する音楽管理ソフトウェア「SonicStage CP」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を公表した。深刻度については3段階の2段階目「■ II(警告)」とされている。 SonicStage CP(SonicStage Ver.4.0/4.1/4.2/4.3)には、プレイリストファイル(拡張子がm3uのファイル)の取り込み処理に問題があり、バッファオーバーフローによる脆弱性が存在することが確認された。この弱点を悪用したプレイリストファイルを取り込んだ場合、SonicStageが強制終了し、任意のコードが実行される可能性がある。これにより、コンピュータ上でユーザの意図しないプログラムの実行、ファイルの削除、ウイルスやボットなどの悪意あるツールがインストールされるなど、の危険性が指摘されている。 今回公表された脆弱性情報は、11月15日に製品開発者自身からIPAに届出があり、有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)が、製品開発者と調整を行い4日に公表された。なお共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)での基本値は6.8。 対策方法は「ベンダが提供する対策済みバージョンに更新する」こととなっている。詳しくはソニー ウォークマン カスタマーサポートのお知らせページを参照のこと。
