Samsung iPOLiS Device Manager には、任意のコードを実行される脆弱性が存在します。
サムスン iPOLiS Device Manager 1.8.7 未満
第三者により、XNSSDKDEVICE.XnsSdkDeviceCtrlForIpInstaller.1 ActiveX コントロールにおける以下の項目の不特定な値を介して、任意のコードを実行される可能性があります。 (1) Start メソッド (2) ChangeControlLocalName メソッド (3) DeleteDeviceProfile メソッド (4) FrameAdvanceReader メソッド またはその他の不明なメソッド
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
サムスン SAMSUNG : iPOLiS Device Manager_v1.8.7_setup_Full.zip
コード・インジェクション(CWE-94) [NVD評価]
CVE-2014-3911
National Vulnerability Database (NVD) : CVE-2014-3911 関連文書 : ZDI-14-167 Samsung iPOLiS Device Manager XNSSDKWINDOW.XnsSdkWindowCtrlForIpInstaller.1 Start Method Remote Code Execution Vulnerability 関連文書 : ZDI-14-168 Samsung iPOLiS Device Manager XNSSDKDEVICE.XnsSdkDeviceCtrlForIpInstaller.1 ChangeControlLocalName Method Remote Code Execution Vulnerability 関連文書 : ZDI-14-170 Samsung iPOLiS Device Manager XNSSDKDEVICE.XnsSdkDeviceCtrlForIpInstaller.1 DeleteDeviceProfile Method Remote Code Execution Vulnerability 関連文書 : ZDI-14-171 Samsung iPOLiS Device Manager XNSSDKDEVICE.XnsSdkDeviceCtrlForIpInstaller.1 FrameAdvanceReader Method Remote Code Execution Vulnerability 関連文書 : ZDI-14-172 Samsung iPOLiS Device Manager XNSSDKDEVICE.XnsSdkDeviceCtrlForIpInstaller.1 Multiple Methods Remote Code Execution Vulnerability
[2014年06月16日] 掲載