プレゼン会議システムに複数脆弱性 - 一部修正した更新が公開
F-Secureは、ワールドワイドで利用されているベルギーBarco製のワイヤレスプレゼンテーションシステム「ClickShare」に複数の脆弱性が含まれていることを明らかにした。
同製品は、会議室のAV機器に接続する「ClickShareベースユニット」や同ユニットと会議参加者の端末を接続する「ClickShareボタン」で構成されているプレゼンテーションシステム。同システムには、ファームウェアに明らかとなった脆弱性や、チップにおける既知の脆弱性など、CVEベースであわせて10件の脆弱性が存在するという。
なかでも会議参加者のPCへUSBで接続する「ClickShareボタン」には、6件の脆弱性が判明。「OSコマンドインジェクション」が可能となる「CVE-2019-18830」や、共有のワンタイムプログラマブル暗号化キーを利用しており、ブートするソフトウェアイメージを偽造できる「CVE-2019-18832」が含まれる。
さらに証明書の検証不備の脆弱性「CVE-2019-18826」が存在。自己署名証明書を使用することで制限されたコマンドを実行することが可能。くわえてテスト用証明書のプライベート鍵が含まれている「CVE-2019-18831」や、認証情報がハードコードされている「CVE-2019-18828」などが確認された。
「ClickShareボタン」の接続時に起動され、ドライバやソフトウェアをインストールするWindows向けのソフトウェアには、意図しないライブラリファイルを読み込むDLLサイドローディング「CVE-2019-18829」が含まれる。「ClickShareボタン」のファイルイメージを改ざんされた場合、マルウェアの感染に悪用されるおそれがある。また通信において暗号化が不十分な脆弱性「CVE-2019-18833」が判明した。
(Security NEXT - 2019/12/17 )
ツイート
PR
関連記事
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
「GitLab」に5件の脆弱性 - 最新パッチで修正
「SonicOS」にリモートよりDoS攻撃を受けるおそれ - 修正版を公開
NVIDIAのAI開発フレームワーク「NeMo」に3件の脆弱性
