JVNDB-2016-003325
|
OS X 向け Alertus Desktop Notification に不適切な権限設定の問題
|
|
OS X 向け Alertus Desktop Notification は、設定ファイルその他のファイルアクセス権限がセキュアでないため、権限を持たない攻撃者が通知を無効にしたり、コンテンツを改ざんしたりすることが可能です。
不適切なデフォルトパーミッション (CWE-276) - CVE-2016-5087
Alertus Desktop Notification は、緊急通知を受信して PC や Mac などのクライアントシステム上で表示するためのソフトウェアです。OS X 向け Alertus Desktop Notification は、設定ファイルなどのファイルアクセス権限がセキュアでないため、クライアントシステムにログインできる攻撃者が、通知を無効にしたりコンテンツを改ざんしたりすることが可能です。
CWE-276: Incorrect Default Permissions
http://cwe.mitre.org/data/definitions/276.html
|
|
CVSS v3 による深刻度
基本値: 4.4 (警告) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 3.2 (注意) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Alertus Technologies, LLC.
- Alertus Desktop Notification version 2.9.30.1700 およびそれ以前 (OS X)
|
|
|
ログイン可能な攻撃者によって、設定ファイルやその他のファイルを削除されることで通知を無効化されたり、コンテンツを改ざんされたりする可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した version 2.9.31.1710 をリリースしています。
[ワークアラウンドを実施する]
開発者は、当該製品のアップデートができない、またはアップデートを望まないユーザ向けに次のように述べています。
We are providing a script that fixes the permissions if an upgrade cannot be performed. Refer to the URL below for script and more information:
(アップグレードができない環境向けに、アクセス権限を修正するスクリプトを提供しています。スクリプトや更なる情報は以下の URL をご確認ください)
https://helpdesk.alertus.com/solution/articles/3000054559-osx-permissions-patch-script-for-alertus-desktop-osx-2-9-30-1700
|
|
Alertus Technologies, LLC.
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2016-5087
|
|
- JVN : JVNVU#95927790
- National Vulnerability Database (NVD) : CVE-2016-5087
- US-CERT Vulnerability Note : VU#302544
|
|
|
