JVNDB-2011-000026

[English]
JVNDB-2011-000026
Windows のヘルプ機能を使用するアプリケーションにおける権限昇格が可能になる問題
概要
Windows のヘルプ機能を使用したアプリケーションやサービスが、不適切な方法でヘルプ機能を呼び出している場合、一般ユーザが、本来アクセスを制限されているリソースにアクセスできる可能性があります。この問題は、ヘルプ機能の呼び出しに際して適切な対処を行なっていないアプリケーションやサービスで発生する可能性があります。典型的な例としては、アンチウイルスソフトウェアやパーソナルファイアウォールなどのように、ローカルシステム上の管理者権限のサービスとして動作し、一般ユーザに対して対話型のインタフェースを提供しているものが挙げられます。本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 石原孝紀氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.2 (危険) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム
影響を受けるシステムについては、「ベンダ情報」を参照してください。
シマンテック Norton AntiVirus Corporate Edition バージョン7.5.1 build 62 以前 Norton AntiVirus Corporate Edition バージョン7.6 build 35a 以前 Symantec AntiVirus Corporate Edition 9.0 MR3 以前 Symantec AntiVirus Corporate Edition 9.0.1 MR3 以前 Symantec AntiVirus Corporate Edition 9.0.2 MR3 以前 Symantec Client Security 2.0 MR3 以前 Symantec Client Security 2.0.1 MR3 以前 Symantec Client Security 2.0.2 MR3 以前

想定される影響
一般ユーザが、他ユーザのファイルやシステムファイルなど、本来制限されているリソースへのアクセスを行う可能性があります。
対策
各アプリケーションにおける対策方法については、「ベンダ情報」を参照してください。
ベンダ情報
シマンテック Symantec Security Advisory : SYM05-012 シマンテックセキュリティ・アドバイザリー : Symantec Norton AntiVirus Corporate Edition 7.xヘルプファイルの権限が昇格するマイクロソフト Microsoft Support : Security, services and the interactive desktop in Windows Microsoft サポート : Windows のセキュリティ、サービス、およびインタラクティブデスクトップについて
CWEによる脆弱性タイプ一覧 CWEとは?
認可・権限・アクセス制御(CWE-264) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2002-1540 CVE-2005-2017
参考情報
JVN : JVN#63898867 National Vulnerability Database (NVD) : CVE-2002-1540 National Vulnerability Database (NVD) : CVE-2005-2017
更新履歴
[2011年05月11日] 掲載


公表日	2011/05/11
登録日	2011/05/11
最終更新日	2011/05/11

Windows のヘルプ機能を使用するアプリケーションにおける権限昇格が可能になる問題