| Summary | RevoWorks Cloud Client 3.0.91 and earlier contains an incorrect authorization vulnerability. If this vulnerability is exploited, unintended processes may be executed in the sandbox environment. Even if malware is executed in the sandbox environment, it does not compromise the client's local environment. However, information in the sandbox environment may be disclosed to outside or behaviors of the sandbox environment may be violated by tampering registry. |
|---|---|
| Publication Date | Oct. 1, 2024, 11:15 a.m. |
| Registration Date | Oct. 1, 2024, 4 p.m. |
| Last Update | Oct. 4, 2024, 10:51 p.m. |
| Title | RevoWorksクラウドにおける意図しないプロセス実行が可能となる脆弱性 |
|---|---|
| Summary | ジェイズ・コミュニケーション株式会社が提供するRevoWorksクラウドは、クライアントPC上にローカル環境から分離した環境(以下、「分離環境」)を構築します。分離環境内では、ウェブブラウザを実行するとともに、許可されていないプロセスを検知し実行を抑制する機能が提供されていますが、許可されていないプロセスを検知する機能に不備があります(CWE-863)。 この脆弱性情報は、製品利用者への周知を⽬的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 |
| Possible impacts | 分離環境内で、意図しないプロセスが実行される可能性があります。 なお、分離環境内でマルウェアを実行してしまったとしてもローカル環境への干渉はできませんが、分離環境内で扱う情報が外部に漏えいしたり、レジストリ改ざんなどによって分離環境の動作が妨害される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、RevoWorksクラウドクライアントを最新版にアップデートしてください。 |
| Publication Date | Sept. 30, 2024, midnight |
| Registration Date | Sept. 30, 2024, 12:38 p.m. |
| Last Update | Sept. 30, 2024, 12:38 p.m. |
| ジェイズ・コミュニケーション株式会社 |
| RevoWorksクラウドクライアント 3.0.91およびそれ以前のバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2024年09月30日] 掲載 |
Sept. 26, 2024, 6:39 p.m. |