Screen Creator Advance 2の脆弱性情報
1.脆弱性の概要
Screen Creator Advance 2 に脆弱性が発見されましたので、その内容と対処方法をお知らせします。
内容をご確認の上、以下の対処を実施いただきますよう、お願い申し上げます。
2.対象製品
製品名: Screen Creator Advance 2
バージョン: Ver.0.1.1.4 Build01A以前
3.説明
対象のScreen Creator Advance 2には以下の脆弱性が存在します。
脆弱性) メモリバッファの境界における不適切な操作制限
Screen Creator Advance 2でプロジェクトファイルを開いたとき、その中に含まれる画面情報に紐づいた
コントロール情報を読み込む処理において、扱うデータのサイズを適切にチェックしていません。
そのため、プロジェクトファイルにおいて、そのサイズを改ざんすることによって、範囲外のメモリの
読み書きが可能になります。
| CWE ID: | CWE-119 |
| CVE ID: | CVE-2023-25755 |
| CVSS v3: | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H ベーススコア:7.8 |
4.想定される影響
脆弱性発生の条件を満たすように該当部分を細工したScreen Creator Advance 2のプロジェクトファイルを
ユーザに開かせることで、情報が漏洩したり任意のコードを実行されたりする可能性があります。
5.解決方法
Screen Creator Advance 2のアップデート
Screen Creator Advance 2を対策済みの以下バージョンに更新いただきますよう、お願いいたします。
このバージョンでは、脆弱性自体の対策だけでなく、改ざんされたプロジェクトファイルを開かないようにする
対策も実施しています。
バージョン:Ver.0.1.1.4 Build01B以降
このバージョンは、以下サイトからダウンロードいただけます。
日本語:https://www.electronics.jtekt.co.jp/jp/download/hmi/
英語: https://www.electronics.jtekt.co.jp/en/download/hmi/
6.謝辞
この脆弱性情報は、下記の方からJPCERT/CC に報告いただきました。
Michael Heinzl 氏