Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

プレゼン会議システムに複数脆弱性 - 一部修正した更新が公開

F-Secureは、ワールドワイドで利用されているベルギーBarco製のワイヤレスプレゼンテーションシステム「ClickShare」に複数の脆弱性が含まれていることを明らかにした。

同製品は、会議室のAV機器に接続する「ClickShareベースユニット」や同ユニットと会議参加者の端末を接続する「ClickShareボタン」で構成されているプレゼンテーションシステム。同システムには、ファームウェアに明らかとなった脆弱性や、チップにおける既知の脆弱性など、CVEベースであわせて10件の脆弱性が存在するという。

なかでも会議参加者のPCへUSBで接続する「ClickShareボタン」には、6件の脆弱性が判明。「OSコマンドインジェクション」が可能となる「CVE-2019-18830」や、共有のワンタイムプログラマブル暗号化キーを利用しており、ブートするソフトウェアイメージを偽造できる「CVE-2019-18832」が含まれる。

さらに証明書の検証不備の脆弱性「CVE-2019-18826」が存在。自己署名証明書を使用することで制限されたコマンドを実行することが可能。くわえてテスト用証明書のプライベート鍵が含まれている「CVE-2019-18831」や、認証情報がハードコードされている「CVE-2019-18828」などが確認された。

「ClickShareボタン」の接続時に起動され、ドライバやソフトウェアをインストールするWindows向けのソフトウェアには、意図しないライブラリファイルを読み込むDLLサイドローディング「CVE-2019-18829」が含まれる。「ClickShareボタン」のファイルイメージを改ざんされた場合、マルウェアの感染に悪用されるおそれがある。また通信において暗号化が不十分な脆弱性「CVE-2019-18833」が判明した。

(Security NEXT - 2019/12/17 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Cisco DCNM」の深刻な脆弱性 - 研究者が詳細を公表
「Citrix ADC」更新が一部公開、SD-WAN製品にも影響 - 緩和策で問題も
「IE」に未修正のRCE脆弱性、ゼロデイ攻撃も - 「Windows 7」にも影響
トレンド製パスワード管理ソフトに情報漏洩の脆弱性
Oracle、定例更新をリリース - 334件の脆弱性に対処
「Citrix ADC」へのゼロデイ攻撃、国内でも11日より観測
WordPressサイトの管理プラグインなどに深刻な脆弱性
「VMware Tools」の一部バージョンに権限昇格の脆弱性
「Citrix ADC」狙う悪用コード出回る - ゼロデイ攻撃に注意
MS、2020年最初の月例パッチを公開 - 脆弱性49件を修正