JVNDB-2017-002744
|
Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性
|
Portrait Displays SDK を使用して作成されたアプリケーションは、デフォルトの権限設定がセキュアでないため、任意のコードを実行される可能性があります。
不適切なデフォルトパーミッション (CWE-276) - CVE-2017-3210
Portrait Displays SDK を使用して作成されたアプリケーションでは、コンポーネント pdiservice.exe をサービスとして登録し、NT AUTHORITY/SYSTEM ユーザの権限で実行します。この SDK を使用して作成された複数のアプリケーションにおいて、サービス設定の内容を Authenticated Users の権限で変更可能であることが報告されました。したがって、Authenticated Users に属するユーザアカウントによってサービス設定の内容を変更され、SYSTEM 権限で任意のコードを実行される可能性があります。
|
CVSS v3 による深刻度 基本値: 7.8 (重要) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度 基本値: 6.8 (警告) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
Koninklijke Philips N.V.
- Smart Control Premium 2.23
- Smart Control Premium 2.25
Portrait Displays, Inc.
- Portrait Displays SDK 2.30 から 2.34
ヒューレット・パッカード
- HP Display Assistant 2.1
- HP My Display 2.0
富士通
- Fujitsu DisplayView Click 6.0
- Fujitsu DisplayView Click 6.01
- Fujitsu DisplayView Click Suite 5
|
Portrait Displays SDK 2.30 から 2.34 までを使用して作成されたアプリケーションが、本脆弱性の影響を受けます。
|
管理者権限を持たない一般ユーザによって、SYSTEM 権限で任意のコードを実行される可能性があります。
|
[アプリケーションをアップデートする]
各アプリケーション開発者が提供する情報をもとに、アプリケーションを最新版へアップデートしてください。
Portrait Displays SDK の開発者は、影響を受けるアプリケーションに対するパッチを提供しています。
また、本脆弱性の影響を受けることが確認されているアプリケーションは、次のバージョンで修正されています。
* Fujitsu DisplayView Click 6.3
* Fujitsu DisplayView Click Suite 5.9
* HP Display Assistant 2.11
* HP My Display 2.1
* Philips Smart Control Premium 2.26
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。
* 次のコマンドを使用して Authenticated Users の Read/Write 権限を削除する
sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)
|
Portrait Displays, Inc.
富士通
|
- 不適切なデフォルトパーミッション(CWE-276) [IPA評価]
|
- CVE-2017-3210
|
- JVN : JVNVU#96080594
- National Vulnerability Database (NVD) : CVE-2017-3210
- US-CERT Vulnerability Note : VU#219739
- 関連文書 : SEC Consult Vulnerability Lab Security Advisory < 20170425-0 >
- 関連文書 : SEC Consult blog - What unites HP, Philips and Fujitsu? One service and millions of vulnerable devices.
|
- [2017年04月27日]
掲載
[2017年05月09日]
ベンダ情報:富士通 (富士通株式会社 の告知ページ) を追加
|