| タイトル | Portrait Displays SDK を使用して作成されたアプリケーションに任意のコードが実行可能な脆弱性 |
|---|---|
| 概要 | Portrait Displays SDK を使用して作成されたアプリケーションは、デフォルトの権限設定がセキュアでないため、任意のコードを実行される可能性があります。 不適切なデフォルトパーミッション (CWE-276) - CVE-2017-3210 Portrait Displays SDK を使用して作成されたアプリケーションでは、コンポーネント pdiservice.exe をサービスとして登録し、NT AUTHORITY/SYSTEM ユーザの権限で実行します。この SDK を使用して作成された複数のアプリケーションにおいて、サービス設定の内容を Authenticated Users の権限で変更可能であることが報告されました。したがって、Authenticated Users に属するユーザアカウントによってサービス設定の内容を変更され、SYSTEM 権限で任意のコードを実行される可能性があります。 |
| 想定される影響 | 管理者権限を持たない一般ユーザによって、SYSTEM 権限で任意のコードを実行される可能性があります。 |
| 対策 | [アプリケーションをアップデートする] 各アプリケーション開発者が提供する情報をもとに、アプリケーションを最新版へアップデートしてください。 Portrait Displays SDK の開発者は、影響を受けるアプリケーションに対するパッチを提供しています。 また、本脆弱性の影響を受けることが確認されているアプリケーションは、次のバージョンで修正されています。 * Fujitsu DisplayView Click 6.3 * Fujitsu DisplayView Click Suite 5.9 * HP Display Assistant 2.11 * HP My Display 2.1 * Philips Smart Control Premium 2.26 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。 * 次のコマンドを使用して Authenticated Users の Read/Write 権限を削除する sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU) |
| 公表日 | 2017年4月25日0:00 |
| 登録日 | 2017年4月27日12:16 |
| 最終更新日 | 2017年5月9日12:12 |
| CVSS3.0 : 重要 | |
| スコア | 7.8 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:L/AC:L/Au:S/C:C/I:C/A:C |
| ヒューレット・パッカード |
| HP Display Assistant 2.1 |
| HP My Display 2.0 |
| 富士通 |
| Fujitsu DisplayView Click 6.0 |
| Fujitsu DisplayView Click 6.01 |
| Fujitsu DisplayView Click Suite 5 |
| Koninklijke Philips N.V. |
| Smart Control Premium 2.23 |
| Smart Control Premium 2.25 |
| Portrait Displays, Inc. |
| Portrait Displays SDK 2.30 から 2.34 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年04月27日] 掲載 [2017年05月09日] ベンダ情報:富士通 (富士通株式会社 の告知ページ) を追加 |
2018年2月17日10:37 |
| 概要 | Applications developed using the Portrait Display SDK, versions 2.30 through 2.34, default to insecure configurations which allow arbitrary code execution. A number of applications developed using the Portrait Displays SDK do not use secure permissions when running. These applications run the component pdiservice.exe with NT AUTHORITY/SYSTEM permissions. This component is also read/writable by all Authenticated Users. This allows local authenticated attackers to run arbitrary code with SYSTEM privileges. The following applications have been identified by Portrait Displays as affected: Fujitsu DisplayView Click: Version 6.0 and 6.01. The issue was fixed in Version 6.3. Fujitsu DisplayView Click Suite: Version 5. The issue is addressed by patch in Version 5.9. HP Display Assistant: Version 2.1. The issue was fixed in Version 2.11. HP My Display: Version 2.0. The issue was fixed in Version 2.1. Philips Smart Control Premium: Versions 2.23, 2.25. The issue was fixed in Version 2.26. |
|---|---|
| 公表日 | 2018年7月25日0:29 |
| 登録日 | 2021年1月26日13:23 |
| 最終更新日 | 2024年11月21日12:25 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:portrait:portrait_display_sdk:*:*:*:*:*:*:*:* | 2.30 | 2.34 | |||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:fujitsu:displayview_click:6.01:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:fujitsu:displayview_click:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:fujitsu:displayview_click_suite:5.0:*:*:*:*:*:*:* | |||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:hp:display_assistant:2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:hp:my_display:2.0:*:*:*:*:*:*:* | |||||
| 構成4 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:philips:smart_control_premium:2.25:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:philips:smart_control_premium:2.23:*:*:*:*:*:*:* | |||||