プレゼン会議システムに複数脆弱性 - 一部修正した更新が公開
F-Secureは、ワールドワイドで利用されているベルギーBarco製のワイヤレスプレゼンテーションシステム「ClickShare」に複数の脆弱性が含まれていることを明らかにした。
同製品は、会議室のAV機器に接続する「ClickShareベースユニット」や同ユニットと会議参加者の端末を接続する「ClickShareボタン」で構成されているプレゼンテーションシステム。同システムには、ファームウェアに明らかとなった脆弱性や、チップにおける既知の脆弱性など、CVEベースであわせて10件の脆弱性が存在するという。
なかでも会議参加者のPCへUSBで接続する「ClickShareボタン」には、6件の脆弱性が判明。「OSコマンドインジェクション」が可能となる「CVE-2019-18830」や、共有のワンタイムプログラマブル暗号化キーを利用しており、ブートするソフトウェアイメージを偽造できる「CVE-2019-18832」が含まれる。
さらに証明書の検証不備の脆弱性「CVE-2019-18826」が存在。自己署名証明書を使用することで制限されたコマンドを実行することが可能。くわえてテスト用証明書のプライベート鍵が含まれている「CVE-2019-18831」や、認証情報がハードコードされている「CVE-2019-18828」などが確認された。
「ClickShareボタン」の接続時に起動され、ドライバやソフトウェアをインストールするWindows向けのソフトウェアには、意図しないライブラリファイルを読み込むDLLサイドローディング「CVE-2019-18829」が含まれる。「ClickShareボタン」のファイルイメージを改ざんされた場合、マルウェアの感染に悪用されるおそれがある。また通信において暗号化が不十分な脆弱性「CVE-2019-18833」が判明した。
(Security NEXT - 2019/12/17 )
ツイート
PR
関連記事
ファイルサーバ「goshs」に認証回避など複数脆弱性 - 修正版を公開
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供
SAP、月例セキュリティアドバイザリ19件を公開 - 「クリティカル」も
「Cisco Webex」のSSO連携に深刻な脆弱性 - 証明書の更新を
「Chrome」が脆弱性31件を修正 - 5件は「クリティカル」
「Adobe Acrobat/Reader」がわずか3日で再更新 - 深刻な脆弱性を修正
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
米当局、「SharePoint Server」「Excel」の脆弱性悪用に注意喚起
