JVNDB-2017-004150
|
Samsung Magician に更新がセキュアに行われない脆弱性
|
|
Samsung Magician は更新の確認や更新データの取得がセキュアに行われていません。結果として管理者権限で任意のコードが実行される可能性があります。
Samsung Magician は Samsung SSD の管理ユーティリティです。version 5.0 より前のバージョンでは更新の確認や更新データの取得を HTTP 経由で行っています。また、version 5.1 より前のバージョンでは、HTTPS 経由で通信しますがサーバ証明書の検証を行っていません。
Samsung Magician
https://www.samsung.com/semiconductor/minisite/ssd/product/consumer/magician.html
|
|
CVSS v3 による深刻度
基本値: 8.8 (重要) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 8.3 (危険) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
サムスン
- Samsung Magician version 5.1 より前のバージョン
|
|
|
中間者 (man-in-the-middle) 攻撃により、管理者権限で任意のコードを実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は Samsung Magician version 5.1 で対策されています。
なお、アップデートを行う場合は、当該製品のセルフアップデートの仕組みを使わずに、手動で更新データを取得してアップデートを行ってください。
|
|
サムスン
|
|
|
|
- CVE-2017-3218
|
|
- JVN : JVNVU#99188315
- National Vulnerability Database (NVD) : CVE-2017-3218
- CERT Vulnerability Analysis : CERT Tapioca
- US-CERT Vulnerability Note : VU#846320
|
|
- [2017年06月19日]
掲載
[2018年01月24日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3218) を追加
|
