SanDisk SSD Dashboard 管理程式存有資安漏洞
- 發布單位:TWCERT/CC
- 更新日期:2019-08-13
- 點閱次數:551
CVE編號
CVE-2019-13466、CVE-2019-13467
內文
資安專家 Martin Rakhmonov 在日前發表研究報告,文中指出全球儲存裝置大廠 SanDisk 推出的電腦端 SSD 管理程式存有兩個資安漏洞。
首先是 CVE-2019-13466,這個資安漏洞在於把用來保護用戶資訊的加密密鑰,以明碼寫死在程式碼中,而且非常容易破解。
其次 CVE-2019-13467 的問題更加嚴重:該軟體與 SanDisk 伺服器透過網路傳輸資料時,仍使用未經加密的 http 協定,而非加密的 https,因此非常容易遭到中間人攔截攻擊。
在作者向 SanDisk 通報這兩個問題後,SanDisk 做了相對應的調整:目前不再將用戶資料自動上傳到其伺服器,改為由用戶在通報問題時手動上傳,另外傳輸協定也改為 https。
影響產品
SanDisk SSD Dashboard 2.5.1.0 之前版本
解決辦法
升級至 SanDisk SSD Dashboard 2.5.1.0 起之新版