「Portrait Display SDK」に脆弱性、富士通などのアプリに影響
「Fujitsu DisplayView Click」などのアプリケーションで、脆弱(ぜいじゃく)性を修正する更新版が公開されている。
米セキュリティ機関のCERT/CCは4月25日、富士通やHewlett-Packard(HP)のアプリケーションに使われている「Portrait Display SDK」の脆弱(ぜいじゃく)性に関する情報を公開し、ソフトウェアの更新や回避策の適用などで対応するよう呼び掛けた。
CERT/CCによると、Portrait Display SDKのバージョン2.30〜2.34に、デフォルトの設定がセキュアでない脆弱性が存在する。
このため同SDKを使って開発されたアプリケーションの「pdiservice.exe」というコンポーネントがセキュアでないパーミッションで実行され、全ての「Authenticated Users」による読み込みと書き込みが可能な状態にある。この状態を悪用すれば、ローカルの認証された攻撃者が、システム特権で任意のコードを実行できてしまう恐れがある。
影響を受けるのは「Fujitsu DisplayView Click」(バージョン6.0と6.01)、「Fujitsu DisplayView Click Suite」(バージョン5)、「HP Display Assistant」(バージョン2.1)、「HP My Display」(バージョン2.0)、「Philips Smart Control Premium」(バージョン2.23と2.25)の各製品。それぞれ更新版で脆弱性が修正されている。
Portrait Displaysは、現時点でこの脆弱性が悪用されている形跡はないとしながらも、直ちにパッチを適用して脆弱性を修正するよう呼び掛けている。
関連記事
- Wi-Fiルーターに10件の脆弱性報告、Linksysが対策を勧告
Linksysは攻撃を防ぐための当面の対策として、WiFi Guest Networkの無効化や、デフォルトのパスワード変更を呼び掛けた。 - Dropbox SDKに深刻な脆弱性、連携のAndroidアプリから情報流出の恐れ
Dropbox SDKの脆弱性を修正する更新版が公開された。同SDKを使った「Microsoft Office Mobile」などのAndroidアプリも更新版で脆弱性を修正している。 - 脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響
「Portable SDK for UPnP Devices」(libupnp)というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。 - IBMのSDKにJava関連のセキュリティ問題、研究者が報告
セキュリティ企業のSecurity Explorationsは、これらの問題を悪用すれば、IBM J9 Java仮想マシンのサンドボックスを迂回できてしまう主張している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.