SanDisk SSD Dashboard 管理程式存有資安漏洞

資安專家 Martin Rakhmonov 在日前發表研究報告,文中指出全球儲存裝置大廠 SanDisk 推出的電腦端 SSD 管理程式存有兩個資安漏洞。

首先是 CVE-2019-13466,這個資安漏洞在於把用來保護用戶資訊的加密密鑰,以明碼寫死在程式碼中,而且非常容易破解。

其次 CVE-2019-13467 的問題更加嚴重:該軟體與 SanDisk 伺服器透過網路傳輸資料時,仍使用未經加密的 http 協定,而非加密的 https,因此非常容易遭到中間人攔截攻擊。

在作者向 SanDisk 通報這兩個問題後,SanDisk 做了相對應的調整:目前不再將用戶資料自動上傳到其伺服器,改為由用戶在通報問題時手動上傳,另外傳輸協定也改為 https。

  • CVE編號:CVE-2019-13466、CVE-2019-13467
  • 影響產品:SanDisk SSD Dashboard 5.1.0 之前版本
  • 解決方案:升級至 SanDisk SSD Dashboard 5.1.0 起之新版

資料來源:

  1. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/sandisk-ssd-dashboard-vulnerabilities-cve-2019-13466-cve-2019-13467/
  2. https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=25983
回到頂端