会議室用ウェブカメラに脆弱性、詳細も公開 - 米政府は悪用脆弱性リストに追加
「Meeting Owl Pro」に関しては「CVE-2022-31460」にくわえて、バックドアとなるパスコードがハードコードされている脆弱性「CVE-2022-31462」や、Bluetoothコマンドがパスコードなしに実行できる脆弱性「CVE-2022-31463」など、セキュリティ研究者によって4件の脆弱性が指摘されている。
CVSS基本値を見ると、「CVE-2022-31462」が「9.3」、「CVE-2022-31463」が「8.2」。そのほか2件の脆弱性「CVE-2022-31459」「CVE-2022-31461」は「7.4」と評価されている。
これら脆弱性は、modzeroが発見したもので、現地時間6月3日にレポートを公表している。同レポートにおいて、脆弱性が端末やバックエンドサーバ、アプリ、管理するウェブアプリケーションなどに影響があると指摘。「MQTTサーバ」との通信における問題にも言及している。
同レポートによると、modzeroが最初にOwl Labsへ報告を試みたのは2022年1月だったという。数度連絡を取るものも連絡はなく、脆弱性の公開にあたり最後通告を行ったところ2月17日にテクニカルサポートから連絡があり、Owl LabsのCTOとはじめて連絡が取れたのが2月下旬だった。
同社より「再現できた脆弱性については修正する」との回答があり、3月14日の週内にパッチの提供を開始し、5月9日の週には、すべての問題を解決するとの連絡を受けていた。しかし、modzeroがレポートを執筆していた時点で最新版だった5月11日リリースの「同5.2.0.15」でも、これら脆弱性は修正されていなかった。
(Security NEXT - 2022/06/13 )
ツイート
PR
関連記事
米当局、脆弱性悪用リストに4件追加 - ランサム対策製品の脆弱性も
「Apache Tomcat」に複数脆弱性 - 1月の更新でいずれも修正済み
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
「Microsoft Semantic Kernel」のPython SDKに深刻な脆弱性
広く利用されるVSCode拡張機能「Live Server」に脆弱性 - 未修正状態続く
OpenText製品向けID統合基盤「OTDS」に脆弱性 - 修正版を公開
米当局、「Dell RP4VMs」や「GitLab」の脆弱性悪用に注意喚起
「Chrome」にセキュリティアップデート - 今月4度目の脆弱性対応
DellのVM環境向け復旧製品にゼロデイ脆弱性 - 悪用報告も
「MS Edge」にアップデート - ゼロデイ含む脆弱性13件を解消
