2024年7月29日
Sky株式会社
平素より弊社商品をご愛顧いただき、誠にありがとうございます。
このたび、弊社商品「SKYSEA Client View」において、下記3件の脆弱性が確認されました。
(1) | 特定プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-41139) |
SKYSEA Client Viewの常駐プロセスを利用して、任意のコードを管理者権限で実行できる脆弱性 | |
(2) | 共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如の脆弱性(CVE-2024-41143) |
SKYSEA Client Viewサービスを利用して、任意のEXEファイルを管理者権限で実行できる脆弱性 | |
(3) | パストラバーサルの脆弱性(CVE-2024-41726) |
SKYSEA Client Viewの実行機能にパストラバーサルの脆弱性 |
(1)および(2)はコンピューター内にとどまる脆弱性、(3)は同一組織内にとどまる脆弱性であることから、組織外のネットワークから本脆弱性を用いて悪用できるものではございません。また、悪用報告等もございません。
本脆弱性への対策として、保守契約ユーザー用Webサイト(https://sp.skyseaclientview.net/topics/detail_2875.html)にて、本件への対策を含むアップデートモジュール(Ver.19.300.09h)ならびに、修正モジュールの提供を行っております。お手数をおかけいたしますが、下記対象バージョンについて、Ver.19.300.09h以降へのアップデートを実施いただくか、修正モジュールを適用いただきますようお願いいたします。
影響を受けるプログラムの詳細は、以下のとおりです。
CVE 識別番号 (CVE-ID) |
(1)CVE-2024-41139 / (2)CVE-2024-41143 / (3)CVE-2024-41726 |
---|---|
製品 | SKYSEA Client View |
対象 バージョン |
(1)Ver.6.010.06~19.210.04e / (2)Ver.3.013.00~19.210.04e / (3)Ver.15.200.13i~19.210.04e |
対象 プログラム |
|
CVSS 3.0スコア |
(1)7.8 / (2)7.8 / (3)7.5 |
アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトより提供しております。
保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2875.html
※ログインには、ユーザーIDとパスワードが必要です。
また、本件に関するFAQについては、以下のWebサイトをご覧ください。
脆弱性(CVE-2024-41139)(CVE-2024-41143)(CVE-2024-41726)に関するFAQ
https://sp.skyseaclientview.net/faq/detail_1073.html
※ログインには、ユーザーIDとパスワードが必要です。
2024年7月17日より、本脆弱性への対策を行った製品アップデート(Ver.19.300.09i)の配信を行っております。端末機のアップデートは順次、自動的に実施されます。
保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2876.html
※ログインには、ユーザーIDとパスワードが必要です。
※本脆弱性に関しては、脆弱性情報ハンドリングポリシーに従い、以下の対応を弊社にて実施しております。
ご利用の皆さまには大変ご迷惑をおかけいたしますが、何とぞよろしくお願いいたします。