製品・ソフトウェアに関する情報
Vulnerability Search
Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性
Title Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性
Summary

Portrait Displays SDK を使用して作成されたアプリケーションは、デフォルトの権限設定がセキュアでないため、任意のコードを実行される可能性があります。 不適切なデフォルトパーミッション (CWE-276) - CVE-2017-3210 Portrait Displays SDK を使用して作成されたアプリケーションでは、コンポーネント pdiservice.exe をサービスとして登録し、NT AUTHORITY/SYSTEM ユーザの権限で実行します。この SDK を使用して作成された複数のアプリケーションにおいて、サービス設定の内容を Authenticated Users の権限で変更可能であることが報告されました。したがって、Authenticated Users に属するユーザアカウントによってサービス設定の内容を変更され、SYSTEM 権限で任意のコードを実行される可能性があります。

Possible impacts 管理者権限を持たない一般ユーザによって、SYSTEM 権限で任意のコードを実行される可能性があります。
Solution

[アプリケーションをアップデートする] 各アプリケーション開発者が提供する情報をもとに、アプリケーションを最新版へアップデートしてください。 Portrait Displays SDK の開発者は、影響を受けるアプリケーションに対するパッチを提供しています。 また、本脆弱性の影響を受けることが確認されているアプリケーションは、次のバージョンで修正されています。  * Fujitsu DisplayView Click 6.3  * Fujitsu DisplayView Click Suite 5.9  * HP Display Assistant 2.11  * HP My Display 2.1  * Philips Smart Control Premium 2.26 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。  * 次のコマンドを使用して Authenticated Users の Read/Write 権限を削除する   sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)    (A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)
Publication Date April 25, 2017, midnight
Registration Date April 27, 2017, 12:16 p.m.
Last Update May 9, 2017, 12:12 p.m.
CVSS3.0 : 重要
Score 7.8
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS2.0 : 警告
Score 6.8
Vector AV:L/AC:L/Au:S/C:C/I:C/A:C
Affected System
ヒューレット・パッカード
HP Display Assistant 2.1
HP My Display 2.0
富士通
Fujitsu DisplayView Click 6.0
Fujitsu DisplayView Click 6.01
Fujitsu DisplayView Click Suite 5
Koninklijke Philips N.V.
Smart Control Premium 2.23
Smart Control Premium 2.25
Portrait Displays, Inc.
Portrait Displays SDK 2.30 から 2.34
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2017年04月27日]
  掲載
[2017年05月09日]
  ベンダ情報:富士通 (富士通株式会社 の告知ページ) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2017-3210
Summary

Applications developed using the Portrait Display SDK, versions 2.30 through 2.34, default to insecure configurations which allow arbitrary code execution. A number of applications developed using the Portrait Displays SDK do not use secure permissions when running. These applications run the component pdiservice.exe with NT AUTHORITY/SYSTEM permissions. This component is also read/writable by all Authenticated Users. This allows local authenticated attackers to run arbitrary code with SYSTEM privileges. The following applications have been identified by Portrait Displays as affected: Fujitsu DisplayView Click: Version 6.0 and 6.01. The issue was fixed in Version 6.3. Fujitsu DisplayView Click Suite: Version 5. The issue is addressed by patch in Version 5.9. HP Display Assistant: Version 2.1. The issue was fixed in Version 2.11. HP My Display: Version 2.0. The issue was fixed in Version 2.1. Philips Smart Control Premium: Versions 2.23, 2.25. The issue was fixed in Version 2.26.

Publication Date July 25, 2018, 12:29 a.m.
Registration Date Jan. 26, 2021, 1:23 p.m.
Last Update Nov. 21, 2024, 12:25 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:portrait:portrait_display_sdk:*:*:*:*:*:*:*:* 2.30 2.34
Configuration2 or higher or less more than less than
cpe:2.3:a:fujitsu:displayview_click:6.01:*:*:*:*:*:*:*
cpe:2.3:a:fujitsu:displayview_click:6.0:*:*:*:*:*:*:*
cpe:2.3:a:fujitsu:displayview_click_suite:5.0:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:a:hp:display_assistant:2.1:*:*:*:*:*:*:*
cpe:2.3:a:hp:my_display:2.0:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:a:philips:smart_control_premium:2.25:*:*:*:*:*:*:*
cpe:2.3:a:philips:smart_control_premium:2.23:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List