防犯カメラ映像の閲覧に利用するブラウザ向けプラグインに脆弱性

防犯カメラやレコーダーを提供するHikvisionは、ウェブブラウザ向けに提供しているプラグインに複数の脆弱性が見つかったとしてアップデートで修正を行った。

現地時間11月23日にセキュリティアドバイザリを公開し、ライブビューや録画した画像の再生などビデオ関連機能を提供するブラウザ向けプラグイン「LocalServiceComponents」に複数の脆弱性が報告されたことを明らかにしたもの。

「CVE-2023-28812」はバッファオーバーフローの脆弱性。同プラグインがインストールされている端末で細工されたメッセージを受信すると任意のコードを実行されるおそれがある。また細工したメッセージによってパラメータを変更され、悪意あるファイルがダウンロードされる「CVE-2023-28813」が明らかとなった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、「CVE-2023-28812」は「9.1」、「CVE-2023-28813」は「8.1」と評価されており、重要度はそれぞれ「クリティカル（Critical）」「高（High）」とレーティングされている。

これら脆弱性は「同1.0.0.81」にて修正された。現地時間11月24日には最新版となる「同1.0.0.85」がリリースされている。

（Security NEXT - 2023/11/27 ） ツイート

PR

関連記事

「MS Edge」にアップデート - ゼロデイ脆弱性を解消
ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因
空部屋ポストに未配達の郵便物か、住民から連絡 - 徳島
「FortiWeb」に悪用済み脆弱性が判明 - 今月2件目
「無印良品」通販の顧客情報が流出か - 物流委託先がランサム被害
「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開
非常勤医師が自宅でサポート詐欺被害、内部に患者情報 - 和歌山の病院
メール誤送信で商談会出展事業者のメアド流出 - 大阪府
リサイクル着物の通販サイト、クレカ情報流出のおそれ
ランサム攻撃でシステム障害、情報流出の可能性 - 東海ソフト開発