| タイトル | 複数の F-Secure 製品で配布される F-Secure Software Updater における脆弱性 |
|---|---|
| 概要 | 複数の F-Secure 製品で配布される F-Secure Software Updater は、インストールパッケージのダウンロード後にファイルを検証しないため、任意の実行ファイルに置き換えられ、SYSTEM アカウントで実行される脆弱性が存在します。 |
| 想定される影響 | 中間者攻撃 (man-in-the-middle attack) により、任意の実行ファイルに置き換えられ、SYSTEM アカウントで実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2017年3月8日0:00 |
| 登録日 | 2017年4月4日19:05 |
| 最終更新日 | 2017年4月4日19:05 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 危険 | |
| スコア | 9.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:C/I:C/A:C |
| エフ・セキュア |
| Software Updater 2.20 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年04月04日] 掲載 |
2018年2月17日10:37 |
| 概要 | F-Secure Software Updater 2.20, as distributed in several F-Secure products, downloads installation packages over plain http and does not perform file integrity validation after download. Man-in-the-middle attackers can replace the file with their own executable which will be executed under the SYSTEM account. Note that when Software Updater is configured to install updates automatically, it checks if the downloaded file is digitally signed by default, but does not check the author of the signature. When running in manual mode (default), no signature check is performed. |
|---|---|
| 公表日 | 2017年3月11日15:59 |
| 登録日 | 2021年1月26日13:27 |
| 最終更新日 | 2024年11月21日12:29 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:f-secure:software_updater:2.20:*:*:*:*:*:*:* | |||||