「Portrait Display SDK」に脆弱性、富士通などのアプリに影響

「Fujitsu DisplayView Click」などのアプリケーションで、脆弱(ぜいじゃく)性を修正する更新版が公開されている。

» 2017年04月27日 08時35分 公開
[鈴木聖子ITmedia]

 米セキュリティ機関のCERT/CCは4月25日、富士通やHewlett-Packard(HP)のアプリケーションに使われている「Portrait Display SDK」の脆弱(ぜいじゃく)性に関する情報を公開し、ソフトウェアの更新や回避策の適用などで対応するよう呼び掛けた。

 CERT/CCによると、Portrait Display SDKのバージョン2.30〜2.34に、デフォルトの設定がセキュアでない脆弱性が存在する。

Portrait Displays SDKの脆弱性 Portrait Displays SDKの脆弱性を告知するCERT/CCのWebページ

 このため同SDKを使って開発されたアプリケーションの「pdiservice.exe」というコンポーネントがセキュアでないパーミッションで実行され、全ての「Authenticated Users」による読み込みと書き込みが可能な状態にある。この状態を悪用すれば、ローカルの認証された攻撃者が、システム特権で任意のコードを実行できてしまう恐れがある。

 影響を受けるのは「Fujitsu DisplayView Click」(バージョン6.0と6.01)、「Fujitsu DisplayView Click Suite」(バージョン5)、「HP Display Assistant」(バージョン2.1)、「HP My Display」(バージョン2.0)、「Philips Smart Control Premium」(バージョン2.23と2.25)の各製品。それぞれ更新版で脆弱性が修正されている。

 Portrait Displaysは、現時点でこの脆弱性が悪用されている形跡はないとしながらも、直ちにパッチを適用して脆弱性を修正するよう呼び掛けている。

Portrait Displays SDKのWebサイト Portrait DisplaysでもSDKのアップデートを呼びかけている

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ