【重要】特定フォルダにおけるアクセス制限不備の脆弱性(CVE-2024-21805) / 常駐プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-24964)について

2024年3月7日(2024年7月29日更新)
Sky株式会社

平素より、当サイトをご利用いただきありがとうございます。弊社商品「SKYSEA Client View」において、下記2件の脆弱性が確認されました。

(1)特定フォルダにおけるアクセス制限不備の脆弱性
SKYSEA Client View のサービス起動時、サービスプロセスに任意のDLLをロードさせ、任意のコードを実行することができる脆弱性
(2)常駐プロセスにおけるアクセス制限不備の脆弱性
SKYSEA Client View の常駐プロセスを利用して、ユーザー権限のプロセスから管理者権限のプロセスが起動できる脆弱性

本脆弱性は、コンピューター内の実行プロセスにとどまる脆弱性であることから、リモートで悪意のあるコードを実行させるようなものではございません。また、悪用報告等もございません。

本脆弱性への対策として、保守契約ユーザー用Webサイト(https://sp.skyseaclientview.net/topics/detail_2786.html)にて、本件への対策を含むアップデートモジュールならびに、修正モジュールの提供を行っております。お手数をおかけいたしますが、下記対象バージョンについて新しいバージョンへのアップデートを実施いただくか、修正モジュールを適用いただきますようお願いいたします。

2024年7月29日追記

2024年3⽉7⽇に公表した時点では、(1)において影響を受ける製品のバージョンは Ver.16.100.6f ~ 19.101.01a としておりましたが、その後さらなる修正を行った Ver.19.300.09h ならびに修正モジュールをリリースいたしました。
アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトをご覧ください。
保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2786.html
※ログインには、ユーザーIDとパスワードが必要です。

影響を受けるプログラムの詳細は以下のとおりです。

CVE識別番号(CVE-ID) (1)CVE-2024-21805 / (2)CVE-2024-24964
製品 SKYSEA Client View
対象バージョン (1)Ver.16.100.06f ~ 19.210.04e / (2)Ver.11.220.05p ~ 19.101.01a
対象プログラム ・マスターサーバー(グローバルマスターサーバー、セカンダリサーバーを含む)
・管理機
・端末機
・スタンドアロン端末機
※いずれもWindows OSが対象です
CVSS 3.0スコア (1)3.3 / (2)7.8

アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトより提供しております。

保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2786.html
※ログインには、ユーザーIDとパスワードが必要です。

また、本件に関するFAQについては、以下のWebサイトをご覧ください。

脆弱性(CVE-2024-21805)(CVE-2024-24964)に関する FAQ
https://sp.skyseaclientview.net/faq/detail_1030.html
※ログインには、ユーザーIDとパスワードが必要です。

※本脆弱性に関しては、脆弱性情報のハンドリングポリシーに従い、 以下の対応を弊社にて実施しております。

ご利用の皆さまには大変ご迷惑をおかけいたしますが、何卒よろしくお願いいたします。

News & Topics 一覧へ
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら