JVNDB-2015-005667
|
EPSON Network Utility に権限昇格の脆弱性
|
|
EPSON Network Utility には権限昇格の脆弱性が存在します。
不適切なデフォルトパーミッション (CWE-276) - CVE-2015-6034
EPSON Network Utility v4.10 は、ネットワーク経由でプリンタのステータスを確認し、印刷状況を表示するためのアプリケーションです。インストールの際、EPSON Network Utility は SYSTEM 権限で動作する EpsonBidirectionalService を作成します。これに対応する実行ファイル eEBSVC.exe のアクセス権はセキュアでなく、Windows の "Everyone" グループのユーザにフルアクセスを許可しています。eEBSVC.exe を悪意のある同名ソフトウェアに差し替えることで、攻撃者は SYSTEM 権限で任意のコードを実行することが可能となります。
CWE-276: Incorrect Default Permissions
https://cwe.mitre.org/data/definitions/276.html
|
|
CVSS v2 による深刻度
基本値: 6.9 (警告) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
セイコーエプソン株式会社
- EPSON Network Utility v4.10
|
|
|
Windows にログイン可能な攻撃者によって、SYSTEM 権限で任意のコードを実行される可能性があります。
|
|
[アップデートする]
EPSON は CVE-2015-6034 を修正したアップデート版をリリースしています。影響を受けるユーザは直ちにアップデートを適用してください。
アップデート版
http://support.epson.net/ESN/info.html
|
|
セイコーエプソン株式会社
|
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2015-6034
|
|
- JVN : JVNVU#93369775
- National Vulnerability Database (NVD) : CVE-2015-6034
- US-CERT Vulnerability Note : VU#672500
|
|
- [2015年10月30日]
掲載
[2015年11月16日]
概要:内容を更新
[2015年11月30日]
対策:内容を更新
[2015年12月22日]
ベンダ情報:セイコーエプソン株式会社 (プリンター付属のソフトウェア「EPSON Network utility」の権限昇格の脆弱性について) を追加
|
