| タイトル | Windows のヘルプ機能を使用するアプリケーションにおける権限昇格が可能になる問題 |
|---|---|
| 概要 | Windows のヘルプ機能を使用したアプリケーションやサービスが、不適切な方法でヘルプ機能を呼び出している場合、一般ユーザが、本来アクセスを制限されているリソースにアクセスできる可能性があります。 この問題は、ヘルプ機能の呼び出しに際して適切な対処を行なっていないアプリケーションやサービスで発生する可能性があります。典型的な例としては、アンチウイルスソフトウェアやパーソナルファイアウォールなどのように、ローカルシステム上の管理者権限のサービスとして動作し、一般ユーザに対して対話型のインタフェースを提供しているものが挙げられます。 本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 石原 孝紀 氏 |
| 想定される影響 | 一般ユーザが、他ユーザのファイルやシステムファイルなど、本来制限されているリソースへのアクセスを行う可能性があります。 |
| 対策 | 各アプリケーションにおける対策方法については、「ベンダ情報」 を参照してください。 |
| 公表日 | 2011年5月11日0:00 |
| 登録日 | 2011年5月11日12:01 |
| 最終更新日 | 2011年5月11日12:01 |
| CVSS2.0 : 危険 | |
| スコア | 7.2 |
|---|---|
| ベクター | AV:L/AC:L/Au:N/C:C/I:C/A:C |
| シマンテック |
| Norton AntiVirus Corporate Edition バージョン7.5.1 build 62 以前 |
| Norton AntiVirus Corporate Edition バージョン7.6 build 35a 以前 |
| Symantec AntiVirus Corporate Edition 9.0 MR3 以前 |
| Symantec AntiVirus Corporate Edition 9.0.1 MR3 以前 |
| Symantec AntiVirus Corporate Edition 9.0.2 MR3 以前 |
| Symantec Client Security 2.0 MR3 以前 |
| Symantec Client Security 2.0.1 MR3 以前 |
| Symantec Client Security 2.0.2 MR3 以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2011年05月11日] 掲載 |
2018年2月17日10:37 |
| 概要 | The client for Symantec Norton AntiVirus Corporate Edition 7.5.x before 7.5.1 Build 62 and 7.6.x before 7.6.1 Build 35a runs winhlp32 with raised privileges, which allows local users to gain privileges by using certain features of winhlp32. |
|---|---|
| 公表日 | 2003年3月31日14:00 |
| 登録日 | 2021年1月29日18:04 |
| 最終更新日 | 2008年9月11日4:14 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:symantec:norton_antivirus:corporate_7.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:norton_antivirus:corporate_7.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:norton_antivirus:corporate_7.51:*:*:*:*:*:*:* | |||||
| 概要 | Symantec AntiVirus 9 Corporate Edition allows local users to gain privileges via the "Scan for viruses" option, which launches a help window with raised privileges, a re-introduction of a vulnerability that was originally identified and addressed by CVE-2002-1540. |
|---|---|
| 公表日 | 2005年8月30日20:45 |
| 登録日 | 2021年1月29日17:58 |
| 最終更新日 | 2008年9月6日5:50 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:symantec:norton_antivirus:9.0.1.1000:*:corporate:*:*:*:*:* | |||||