Windows のヘルプ機能を使用するアプリケーションにおける権限昇格が可能になる問題
| Title |
Windows のヘルプ機能を使用するアプリケーションにおける権限昇格が可能になる問題
|
| Summary |
Windows のヘルプ機能を使用したアプリケーションやサービスが、不適切な方法でヘルプ機能を呼び出している場合、一般ユーザが、本来アクセスを制限されているリソースにアクセスできる可能性があります。 この問題は、ヘルプ機能の呼び出しに際して適切な対処を行なっていないアプリケーションやサービスで発生する可能性があります。典型的な例としては、アンチウイルスソフトウェアやパーソナルファイアウォールなどのように、ローカルシステム上の管理者権限のサービスとして動作し、一般ユーザに対して対話型のインタフェースを提供しているものが挙げられます。 本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 石原 孝紀 氏
|
| Possible impacts |
一般ユーザが、他ユーザのファイルやシステムファイルなど、本来制限されているリソースへのアクセスを行う可能性があります。 |
| Solution |
各アプリケーションにおける対策方法については、「ベンダ情報」 を参照してください。 |
| Publication Date |
May 11, 2011, midnight |
| Registration Date |
May 11, 2011, 12:01 p.m. |
| Last Update |
May 11, 2011, 12:01 p.m. |
|
CVSS2.0 : 危険
|
| Score |
7.2
|
| Vector |
AV:L/AC:L/Au:N/C:C/I:C/A:C |
Affected System
| シマンテック |
|
Norton AntiVirus Corporate Edition バージョン7.5.1 build 62 以前
|
|
Norton AntiVirus Corporate Edition バージョン7.6 build 35a 以前
|
|
Symantec AntiVirus Corporate Edition 9.0 MR3 以前
|
|
Symantec AntiVirus Corporate Edition 9.0.1 MR3 以前
|
|
Symantec AntiVirus Corporate Edition 9.0.2 MR3 以前
|
|
Symantec Client Security 2.0 MR3 以前
|
|
Symantec Client Security 2.0.1 MR3 以前
|
|
Symantec Client Security 2.0.2 MR3 以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2011年05月11日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2002-1540
| Summary |
The client for Symantec Norton AntiVirus Corporate Edition 7.5.x before 7.5.1 Build 62 and 7.6.x before 7.6.1 Build 35a runs winhlp32 with raised privileges, which allows local users to gain privileges by using certain features of winhlp32.
|
| Publication Date |
March 31, 2003, 2 p.m. |
| Registration Date |
Jan. 29, 2021, 6:04 p.m. |
| Last Update |
Sept. 11, 2008, 4:14 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:symantec:norton_antivirus:corporate_7.5:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:symantec:norton_antivirus:corporate_7.6:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:symantec:norton_antivirus:corporate_7.51:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2005-2017
| Summary |
Symantec AntiVirus 9 Corporate Edition allows local users to gain privileges via the "Scan for viruses" option, which launches a help window with raised privileges, a re-introduction of a vulnerability that was originally identified and addressed by CVE-2002-1540.
|
| Publication Date |
Aug. 30, 2005, 8:45 p.m. |
| Registration Date |
Jan. 29, 2021, 5:58 p.m. |
| Last Update |
Sept. 6, 2008, 5:50 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:symantec:norton_antivirus:9.0.1.1000:*:corporate:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List