独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月24日、キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・スモールオフィス向け複合機/レーザービームプリンター
MF642Cdw・MF644Cdw
MF741Cdw・MF743Cdw・MF745Cdw
LBP621C・LBP622C
LBP661C・LBP662C・LBP664C
・インクジェットプリンター
GX4030
G3370
PIXUS XK110
PIXUS TS8630
キヤノン株式会社が提供するスモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターには、次のような影響を受ける可能性がある複数の脆弱性が存在する。
・ヒープベースのバッファオーバーフロー(CVE-2023-0851、CVE-2023-0854)
→遠隔の第三者によって任意のコード実行やサービス運用妨害 (DoS) 攻撃をされる
・スタックベースのバッファオーバーフロー(CVE-2023-0852、CVE-2023-0853、CVE-2023-0855、CVE-2023-0856)
→遠隔の第三者によって任意のコード実行やサービス運用妨害 (DoS) 攻撃をされる
・整数オーバーフローまたはラップアラウンド(CVE-2022-43974)
→遠隔の第三者によって任意のコード実行やサービス運用妨害 (DoS) 攻撃をされる
・整数オーバーフローまたはラップアラウンド(CVE-2022-43608)
→隣接ネットワーク上の第三者によって任意のコードを実行される
・適切でないユーザ管理(CVE-2023-0857)
→遠隔の第三者によって意図しない設定変更や当該製品への不正アクセスが行われる
・不適切なアクセス制御(CVE-2023-0858)
→遠隔の第三者によって当該製品への不正アクセスが行われる
・入力値検証不備(CVE-2023-0859)
→高権限ユーザによって任意のファイルをインストールされる
JVNでは、開発者が提供する情報をもとにファームウェアを最新版にアップデートするよう呼びかけている。
