「iPass Open Mobile」に任意のコードを実行される脆弱性(JVN)
IPAおよびJPCERT/CCは、iPassが提供するWindows 向け「iPass Open Mobile クライアント」に任意のコードが実行可能な脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「iPass Open Mobile Windows Client version 2.4.4 およびそれ以前」は、名前付きパイプを使ってプロセス間通信を行っており、クライアントが作成するサブプロセスのひとつはSYSTEM権限で動作する。認証されたユーザは、細工されたUnicode文字列を送ることで、任意のDLLファイル(UNCパス上のものを含む)を登録することが可能となる。その場合、指定されたDLLファイル中のDllMain関数がSYSTEM権限で実行される。この脆弱性が悪用されると、リモートの認証済みユーザによって、SYSTEM権限で任意のコードを実行される可能性がある。JVNでは、開発者の提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/