【活用ガイド】

[English]

JVNDB-2023-002111

Ridoc Ez Installer NX で作成したドライバーインストールパッケージを改ざん可能な脆弱性

概要

株式会社リコーが提供する Ridoc Ez Installer NX は、対象 PC 上で管理者権限のプロセスを実行してプリンタドライバのインストール・設定を行う「ドライバーインストールパッケージ」を作成するツールです。
当該製品で作成したドライバーインストールパッケージには、インストール時に実行するプログラムなどがバンドルされています。また、管理者権限を持っていないユーザでもインストール作業を行うことができるよう、管理者アカウントおよびパスワードを暗号化してバンドルすることが可能です。

当該製品で作成したドライバーインストールパッケージには、インストール時に実行するプログラムが改ざんされていないかどうかを検証する機能は実装されていません(CWE-345)。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.8 (重要) [その他]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


リコー
  • Ridoc Ez Installer NX DI01.00.02 から DI01.01.25 まで

想定される影響

対象 PC の管理者権限を持たないユーザが、細工したドライバーインストールパッケージを実行することで、管理者権限で任意のプログラムを実行する可能性があります。

[分析結果のコメント]
一般ユーザ権限を持つ攻撃者が、細工したインストールパッケージを実行することを想定しています。
対策

[アップデートし、ドライバーインストールパッケージを再作成する]
開発者が提供する情報をもとに、Ridoc Ez Installer NX を最新版にアップデートした上で、ドライバーインストールパッケージを再作成してください。
開発者は、本脆弱性を修正した DI01.01.26 をリリースしています。
ベンダ情報

リコー
CWEによる脆弱性タイプ一覧  CWEとは?

  1. データの信頼性についての不十分な検証(CWE-345) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-30759
参考情報

  1. JVN : JVNVU#92207133
更新履歴

  • [2023年06月15日]
      掲載

公表日2023/06/14
登録日2023/06/15
最終更新日2023/06/15