プレゼン会議システムに複数脆弱性 - 一部修正した更新が公開
F-Secureは、ワールドワイドで利用されているベルギーBarco製のワイヤレスプレゼンテーションシステム「ClickShare」に複数の脆弱性が含まれていることを明らかにした。
同製品は、会議室のAV機器に接続する「ClickShareベースユニット」や同ユニットと会議参加者の端末を接続する「ClickShareボタン」で構成されているプレゼンテーションシステム。同システムには、ファームウェアに明らかとなった脆弱性や、チップにおける既知の脆弱性など、CVEベースであわせて10件の脆弱性が存在するという。
なかでも会議参加者のPCへUSBで接続する「ClickShareボタン」には、6件の脆弱性が判明。「OSコマンドインジェクション」が可能となる「CVE-2019-18830」や、共有のワンタイムプログラマブル暗号化キーを利用しており、ブートするソフトウェアイメージを偽造できる「CVE-2019-18832」が含まれる。
さらに証明書の検証不備の脆弱性「CVE-2019-18826」が存在。自己署名証明書を使用することで制限されたコマンドを実行することが可能。くわえてテスト用証明書のプライベート鍵が含まれている「CVE-2019-18831」や、認証情報がハードコードされている「CVE-2019-18828」などが確認された。
「ClickShareボタン」の接続時に起動され、ドライバやソフトウェアをインストールするWindows向けのソフトウェアには、意図しないライブラリファイルを読み込むDLLサイドローディング「CVE-2019-18829」が含まれる。「ClickShareボタン」のファイルイメージを改ざんされた場合、マルウェアの感染に悪用されるおそれがある。また通信において暗号化が不十分な脆弱性「CVE-2019-18833」が判明した。
(Security NEXT - 2019/12/17 )
ツイート
PR
関連記事
「Rancher」の一部ロールに権限昇格の脆弱性 - アップデートで修正
「Chrome」にアップデート - 14件のセキュリティ修正を実施
「Apache Tomcat」の脆弱性狙う攻撃に警戒を - 米当局が注意喚起
「VMware Aria Operations」に権限昇格の脆弱性 - 修正パッチがリリース
Go向けウェブアプリフレームワーク「Beego」にXSS脆弱性
Apple、旧スマート端末向けにアップデート - ゼロデイ脆弱性に対応
Apple、「iOS 18.4」「iPadOS 18.4」公開 - 60件以上の脆弱性を解消
「Cisco SLU」脆弱性が攻撃の標的に - 米当局が注意喚起
NetAppのバックアップ管理製品に脆弱性 - CVSSや重要度を下方修正
キヤノン製プリンタドライバに脆弱性 - アップデートを呼びかけ
