Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

プレゼン会議システムに複数脆弱性 - 一部修正した更新が公開

F-Secureは、ワールドワイドで利用されているベルギーBarco製のワイヤレスプレゼンテーションシステム「ClickShare」に複数の脆弱性が含まれていることを明らかにした。

同製品は、会議室のAV機器に接続する「ClickShareベースユニット」や同ユニットと会議参加者の端末を接続する「ClickShareボタン」で構成されているプレゼンテーションシステム。同システムには、ファームウェアに明らかとなった脆弱性や、チップにおける既知の脆弱性など、CVEベースであわせて10件の脆弱性が存在するという。

なかでも会議参加者のPCへUSBで接続する「ClickShareボタン」には、6件の脆弱性が判明。「OSコマンドインジェクション」が可能となる「CVE-2019-18830」や、共有のワンタイムプログラマブル暗号化キーを利用しており、ブートするソフトウェアイメージを偽造できる「CVE-2019-18832」が含まれる。

さらに証明書の検証不備の脆弱性「CVE-2019-18826」が存在。自己署名証明書を使用することで制限されたコマンドを実行することが可能。くわえてテスト用証明書のプライベート鍵が含まれている「CVE-2019-18831」や、認証情報がハードコードされている「CVE-2019-18828」などが確認された。

「ClickShareボタン」の接続時に起動され、ドライバやソフトウェアをインストールするWindows向けのソフトウェアには、意図しないライブラリファイルを読み込むDLLサイドローディング「CVE-2019-18829」が含まれる。「ClickShareボタン」のファイルイメージを改ざんされた場合、マルウェアの感染に悪用されるおそれがある。また通信において暗号化が不十分な脆弱性「CVE-2019-18833」が判明した。

(Security NEXT - 2019/12/17 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

iOS版「Firefox」にアドレスバー偽装が可能となる脆弱性
VPNクライアント「Omnissa Workspace ONE Tunnel」のWindows版に脆弱性
「IBM API Connect」にアップデート - 依存関係含む多数脆弱性を解消
ブラウザ「Chrome」にアップデート - 脆弱性27件を修正
「Plesk」のXML API関連に複数の深刻な脆弱性
プリンタ「HP DeskJet 2800シリーズ」に脆弱性 - 機密情報漏洩のおそれ
リモートアクセスツール「UltraVNC」に複数の脆弱性
「Dell PowerProtect Data Domain」に143件の脆弱性 - 修正版が公開
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性