公開日:2010/12/08 最終更新日:2010/12/08

JVN#62736872
EPSON 製プリンタドライバのインストーラがアクセス権を変更する脆弱性

概要

EPSON 製のプリンタドライバのインストーラには、特定のフォルダへのアクセス権を変更してしまう脆弱性が存在します。

影響を受けるシステム

  • LP-S9000 用のドライバ Ver4.1.11 (32-bit 版および 64-bit 版) より前のバージョン
  • LP-S7100 用のドライバ Ver4.1.7 (32-bit 版および 64-bit 版) より前のバージョン
開発者によると、2010年5月発売当初から2010年11月25日までに出荷された製品に同梱されたプリンタドライバおよび上記期間に開発者サイトよりダウンロードしたプリンタドライバが本脆弱性の影響を受けます。
また、Windows Vista 以降の OS では本脆弱性の影響を受けません。

詳細情報

EPSON 製のプリンタドライバをインストールすると、プログラムファイル等を格納するフォルダ (C:\Program Files) のアクセス権を変更してしまいます。その結果、本来アクセス権のないユーザがそのフォルダ以下へアクセス可能になってしまいます。

想定される影響

本来アクセス権限のないユーザによって、任意のファイルやフォルダを作成・編集・削除される可能性があります。

対策方法

アップデートし、設定変更を行う
開発者が提供する情報をもとに最新版へアップデートし、設定の変更を行ってください。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2010.12.08における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 シェルからのシステムログインやリモートデスクトップなどから攻撃が可能
  • 低 - 中
認証レベル システムに正規登録されている一般ユーザのアカウントが必要
  • 低 - 中
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-3920
JVN iPedia JVNDB-2010-000059