按 Enter 到主內容區
:::

TWCERT-電子報

:::

SanDisk SSD Dashboard 管理程式存有資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-08-13
  • 點閱次數:220
TWCERT/CC SanDisk SSD Dashboard 管理程式存有資安漏洞

CVE編號

CVE-2019-13466、CVE-2019-13467

內文

資安專家 Martin Rakhmonov 在日前發表研究報告,文中指出全球儲存裝置大廠 SanDisk 推出的電腦端 SSD 管理程式存有兩個資安漏洞。

首先是 CVE-2019-13466,這個資安漏洞在於把用來保護用戶資訊的加密密鑰,以明碼寫死在程式碼中,而且非常容易破解。

其次 CVE-2019-13467 的問題更加嚴重:該軟體與 SanDisk 伺服器透過網路傳輸資料時,仍使用未經加密的 http 協定,而非加密的 https,因此非常容易遭到中間人攔截攻擊。
 

在作者向 SanDisk 通報這兩個問題後,SanDisk 做了相對應的調整:目前不再將用戶資料自動上傳到其伺服器,改為由用戶在通報問題時手動上傳,另外傳輸協定也改為 https。

影響產品

SanDisk SSD Dashboard 2.5.1.0 之前版本

解決辦法

升級至 SanDisk SSD Dashboard 2.5.1.0 起之新版
回頁首