ニュース

ソニー「Media Go」に脆弱性、インストールしないよう呼びかけ。後継ソフトを推奨

 IPA(独立行政法人情報処理推進機構)セキュリティセンターと、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は21日、ソニーグループが提供しているソフト「Media Go」と「Music Center for PC」のインストーラに、脆弱性が存在すると発表。「Media Go」は脆弱性への対策は存在しないため、インストールしないよう呼びかけている。

Media Go 3.2

 Media GoとMusic Center for PCのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性が存在。インストーラを実行している権限で、任意のコードを実行される可能性があるという。

 Media Goには脆弱性への対策が存在しないため、インストールしないよう呼びかけている。なお、開発者によれば、「既にインストール済みのユーザは本脆弱性の影響を受けないが、Media Goは2017年12月末に配布の終了を予定しているため、後継製品であるMusic Center for PCの使用を推奨している」という。

 Music Center for PCは、最新バージョンの「1.0.01」においてインストーラーの対策を実施。この最新版ではこの脆弱性とは別の不具合も修正されている。

 ソニーは従来、ウォークマンやオーディオ製品向けにMedia Goを標準の音楽管理アプリとして用意していたが、今年の8月に「Sony | Music Center for PC」の提供を開始。ソフトウェアのベースには、以前ウォークマン用アプリとして展開し、現在も提供を続けている「x-アプリ」を利用したもので、音楽再生機能やCDリッピング、ホームネットワーク(ネットワークオーディオ機器への楽曲配信)、イコライザ機能などを搭載。USB DAC接続時には、ASIO、WASAPIの両ドライバに対応する。

現在の標準アプリ「Sony | Music Center for PC」