公開日:2023/08/28 最終更新日:2023/08/28
JVNVU#93886750
Phoenix Technologies製WindowsカーネルドライバーにおけるIOCTLに対する不十分なアクセス制御の脆弱性
Phoenix Technologies Inc.の提供するWindowsカーネルドライバーの一部には、IOCTLに対する不十分なアクセス制御の脆弱性が存在します。
本脆弱性は、報告者によって、ドライバファイル「TdkLib64.sys」にて確認されました。
開発者によると、本件の影響を受ける可能性のあるユーザには、2023年6月に本脆弱性の対策済みドライバーを提供したとのことです。
詳細は、開発者にお問い合わせください。
Phoenix Technologies Inc.が提供するWindowsカーネルドライバーの一部には、IOCTLに対する不十分なアクセス制御の脆弱性(CWE-782、CVE-2023-35841)が存在します。
管理者権限を持たないユーザが特定のIOCTLリクエストを送付することで、任意のハードウェアポートや物理アドレスに対するI/Oが可能となり、結果としてファームウェアの消去や改ざんをされる可能性があります。
開発者に連絡する
開発者によると、本件の影響を受ける可能性のあるユーザには、2023年6月に本脆弱性の対策済みドライバーを提供したとのことです。
詳細は、開発者にお問い合わせください。
| ベンダ | リンク |
| Phoenix Technologies Inc. | Support |
CVSS v3
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
基本値:
3.3
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: VMware 春山敬宏 氏
