SonicStage CPは、ソニー株式会社が提供する音楽管理ソフトウェアです。CDや音楽配信サイトなどから音楽を取り込み、パソコン上での再生や、同社製携帯音楽プレーヤ「ウォークマン」に転送すること等が可能です。

　SonicStage CPには、プレイリストファイル（拡張子がm3uのファイル）の取り込み処理に問題があり、バッファオーバーフローというセキュリティ上の弱点(脆弱性)が存在します。

　この弱点が悪用されると、SonicStage CPがインストールされたコンピュータ上で、任意のコードが実行されてしまう可能性があります。

　細工されたファイルを何らかの方法(メールの添付ファイル、ウェブ上からダウンロードしたファイル、ファイル交換ソフトなどで入手したファイルなど)で取得したユーザが、そのファイルを開いた場合に、コンピュータ上でユーザの意図しないプログラムの実行や、ファイルの削除、ウイルスやボットなどの悪意あるツールのインストールが行われてしまう可能性があります。

　最新情報は、次のURLを参照して下さい。
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000809.html

　対策方法は「ベンダが提供する対策済みバージョンに更新する」ことです。

　なお、今回公表した脆弱性情報は、2007年11月15日に製品開発者自身からIPAに届出があり、有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）が、製品開発者と調整を行ない、2007年12月4日に公表したものです。今後も、製品開発者の方々は、脆弱性対策情報を利用者へ周知徹底するためにJVN(*1)を活用して下さい。

• (1)評価結果

  本脆弱性の深刻度	□ I（注意）	■ II（警告）	□ III（危険）
  本脆弱性のCVSS基本値		6.8

• (2)CVSS基本値の評価内容

  AV：攻撃元区分	□ ローカル	□ 隣接	■ ネットワーク
  AC：攻撃条件の複雑さ	□ 高	■ 中	□ 低
  Au：攻撃前の認証要否	□ 複数	□ 単一	■ 不要
  C：機密性への影響 　（情報漏えいの可能性）	□ なし	■ 部分的	□ 全面的
  I：完全性への影響 　（情報改ざんの可能性）	□ なし	■ 部分的	□ 全面的
  A：可用性への影響 　（業務停止の可能性）	□ なし	■ 部分的	□ 全面的

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

５．参考情報

■本内容に関するお問い合わせ先

■報道関係からの問い合わせ先

更新履歴