公開日:2010/12/08 最終更新日:2010/12/08
JVN#62736872
EPSON 製プリンタドライバのインストーラがアクセス権を変更する脆弱性
EPSON 製のプリンタドライバのインストーラには、特定のフォルダへのアクセス権を変更してしまう脆弱性が存在します。
- LP-S9000 用のドライバ Ver4.1.11 (32-bit 版および 64-bit 版) より前のバージョン
- LP-S7100 用のドライバ Ver4.1.7 (32-bit 版および 64-bit 版) より前のバージョン
また、Windows Vista 以降の OS では本脆弱性の影響を受けません。
EPSON 製のプリンタドライバをインストールすると、プログラムファイル等を格納するフォルダ (C:\Program Files) のアクセス権を変更してしまいます。その結果、本来アクセス権のないユーザがそのフォルダ以下へアクセス可能になってしまいます。
本来アクセス権限のないユーザによって、任意のファイルやフォルダを作成・編集・削除される可能性があります。
アップデートし、設定変更を行う
開発者が提供する情報をもとに最新版へアップデートし、設定の変更を行ってください。
| ベンダ | リンク |
| セイコーエプソン株式会社 | LP-S7100/LP-S9000 ご愛用のお客様へ 「Windows2000/XP/Server2003プリンタードライバーによる脆弱性」に関するお知らせ |
2010.12.08における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | シェルからのシステムログインやリモートデスクトップなどから攻撃が可能 |
|
| 認証レベル | システムに正規登録されている一般ユーザのアカウントが必要 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
| 攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2010-3920 |
| JVN iPedia |
JVNDB-2010-000059 |
