2024年3月7日(2024年7月29日更新)
Sky株式会社
平素より、当サイトをご利用いただきありがとうございます。弊社商品「SKYSEA Client View」において、下記2件の脆弱性が確認されました。
(1)特定フォルダにおけるアクセス制限不備の脆弱性
SKYSEA Client View のサービス起動時、サービスプロセスに任意のDLLをロードさせ、任意のコードを実行することができる脆弱性
(2)常駐プロセスにおけるアクセス制限不備の脆弱性
SKYSEA Client View の常駐プロセスを利用して、ユーザー権限のプロセスから管理者権限のプロセスが起動できる脆弱性
本脆弱性は、コンピューター内の実行プロセスにとどまる脆弱性であることから、リモートで悪意のあるコードを実行させるようなものではございません。また、悪用報告等もございません。
本脆弱性への対策として、保守契約ユーザー用Webサイト(https://sp.skyseaclientview.net/topics/detail_2786.html)にて、本件への対策を含むアップデートモジュールならびに、修正モジュールの提供を行っております。お手数をおかけいたしますが、下記対象バージョンについて新しいバージョンへのアップデートを実施いただくか、修正モジュールを適用いただきますようお願いいたします。
2024年3⽉7⽇に公表した時点では、(1)において影響を受ける製品のバージョンは Ver.16.100.6f ~ 19.101.01a としておりましたが、その後さらなる修正を行った Ver.19.300.09h ならびに修正モジュールをリリースいたしました。
アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトをご覧ください。
保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2786.html
※ログインには、ユーザーIDとパスワードが必要です。
影響を受けるプログラムの詳細は以下のとおりです。
CVE識別番号(CVE-ID) | (1)CVE-2024-21805 / (2)CVE-2024-24964 |
---|---|
製品 | SKYSEA Client View |
対象バージョン | (1)Ver.16.100.06f ~ 19.210.04e / (2)Ver.11.220.05p ~ 19.101.01a |
対象プログラム | ・マスターサーバー(グローバルマスターサーバー、セカンダリサーバーを含む) ・管理機 ・端末機 ・スタンドアロン端末機 ※いずれもWindows OSが対象です |
CVSS 3.0スコア | (1)3.3 / (2)7.8 |
アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトより提供しております。
保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2786.html
※ログインには、ユーザーIDとパスワードが必要です。
また、本件に関するFAQについては、以下のWebサイトをご覧ください。
脆弱性(CVE-2024-21805)(CVE-2024-24964)に関する FAQ
https://sp.skyseaclientview.net/faq/detail_1030.html
※ログインには、ユーザーIDとパスワードが必要です。
※本脆弱性に関しては、脆弱性情報のハンドリングポリシーに従い、 以下の対応を弊社にて実施しております。
ご利用の皆さまには大変ご迷惑をおかけいたしますが、何卒よろしくお願いいたします。