| タイトル | Symantec Altiris Deployment Solution の ListView コントロールにおけるシステム権限を取得される脆弱性 |
|---|---|
| 概要 | Symantec Altiris Deployment Solution の Client GUI (AClient.exe) の ListView コントロールには、システム権限を取得される、および任意のコマンドを実行される脆弱性が存在します。 |
| 想定される影響 | ローカルユーザにより、以下の操作の隠し "コマンドプロンプト" GUI ボタンに対する "シャッター" 型攻撃を介して、システム権限を取得される、および任意のコマンドを実行される可能性があります。 (1) システム権限を使用する cmd.exe へのCommandLine パラメータを上書きする (2) LoadLibrary API 関数を使用して実行される DLL を変更する |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2008年10月20日0:00 |
| 登録日 | 2012年12月20日19:10 |
| 最終更新日 | 2012年12月20日19:10 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:L/AC:L/Au:S/C:C/I:C/A:C |
| シマンテック |
| Altiris Deployment Solution 6.9.355 SP1 未満の 6.x |
| altiris notification server |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | The ListView control in the Client GUI (AClient.exe) in Symantec Altiris Deployment Solution 6.x before 6.9.355 SP1 allows local users to gain SYSTEM privileges and execute arbitrary commands via a "Shatter" style attack on the "command prompt" hidden GUI button to (1) overwrite the CommandLine parameter to cmd.exe to use SYSTEM privileges and (2) modify the DLL that is loaded using the LoadLibrary API function. |
|---|---|
| 公表日 | 2009年6月9日4:30 |
| 登録日 | 2021年1月29日13:51 |
| 最終更新日 | 2024年2月15日2:26 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:symantec:altiris_deployment_solution:6.9.355:-:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:altiris_deployment_solution:*:*:*:*:*:*:*:* | 6.0 | 6.9.355 | |||