シャープ、東芝テックの複合機に脆弱性 対策説明
ASCII.jp / 2024年10月28日 17時55分
ソフトウェアの脆弱性情報をまとめているJapan Vulnerability Notes(JVN)は10月25日、シャープおよび東芝テック製の複合機に複数の脆弱性があることを明らかにした。両社も同日付でユーザー向けに対応方法などを案内している。
多数の機種が脆弱性の対象に
公開された脆弱性はCVE番号ベースで、両社あわせて合計9個。JVNによると、具体的には以下のような問題が生じる可能性があるという。
・細工されたHTTPリクエストを処理することで、複合機がハングアップする(CVE-2024-42420、CVE-2024-43424、CVE-2024-45829)
・細工されたHTTPリクエストを処理することで、複合機の内部のファイルにアクセスされる(CVE-2024-45842)
・設定登録APIが管理者権限を持っていないユーザによって使用される(CVE-2024-47005)
・複合機のウェブページの認証機構を迂回してアクセスされる(CVE-2024-47406)
・細工されたURLにアクセスした際、ブラウザー上で任意のスクリプトを実行される(CVE-2024-47549、CVE-2024-47801)
・管理者権限を持ったユーザが細工した入力をすることで、複合機にアクセスした他のユーザのブラウザー上で任意のスクリプトを実行される(CVE-2024-48870)
対象機種はシャープが「BP-70C65」など143機種、東芝テックが「e-STUDIO 908/1058/1208」の3機種となる。
対応については両社でわかれており、東芝テックは販売店からユーザーに対し、ソフトウェアのバージョンアップを案内。あわせて、脆弱性を回避するため、「複合機をファイヤーウォールに守られたネットワークに接続する」「ユーザー認証を有効化してパスワードを適切に管理する」といった対策をとるよう説明している。
シャープは現行製品(70機種)にソフトウェアアップデートを提供。希望するユーザーは販売店もしくは同社へ連絡するよう案内している。残りの73機種についてはサポート期間を終えているため、アップデートは提供しない。
同社はアップデート対象か否かを問わず、「複合機をファイヤーウォールやルーターなどで保護したネットワークで利用する」「パスワード設定で複合機用ウェブページへのアクセスを制限する」「複合機の管理者パスワードを初期値から変更した上で適切に管理する」「監査ログを定期的に確認する」といった対策をとることで、攻撃に対するリスクを低減できるとしている。
この記事に関連するニュース
-
シャープおよび東芝テックの複合機多数に緊急の脆弱性、アップデートを
マイナビニュース / 2024年10月28日 10時20分
-
Fortinet、悪用されたFortiManagerのゼロデイ脆弱性について公表
ITmedia NEWS / 2024年10月24日 14時33分
-
Internet Explorerにゼロデイ脆弱性、北朝鮮のサイバー攻撃者が悪用
マイナビニュース / 2024年10月21日 8時40分
-
Microsoftが10月の更新プログラム公開、117件中2件の脆弱性は悪用確認済み
マイナビニュース / 2024年10月9日 17時45分
-
シャープNECディスプレイソリューションズのプロジェクターに脆弱性、更新を
マイナビニュース / 2024年10月2日 8時48分
ランキング
-
1「小説家になろう」運営元の成人向けイラストサイト、サービス終了へ 開始から1年足らず
ITmedia NEWS / 2024年10月28日 18時53分
-
2「青春18きっぷ」元に戻すよう求めるネット署名、1万件超え
ASCII.jp / 2024年10月28日 15時0分
-
3これはちょうどいいSSDだ! 容量2TBの「FireCuda 530R」を試して分かったこと
ITmedia PC USER / 2024年10月28日 14時0分
-
4「死ぬど」 マクドナルドがおすすめの「献立」を提案→無茶苦茶な内容にツッコミ続出 「身体おかしなるで」
ねとらぼ / 2024年10月28日 18時0分
-
5布袋寅泰のギターで見たことある! 下北沢にあった幾何学模様のような“謎の文字”を読み解いてみると…… 「このフォント無茶苦茶欲しい」「読める、読めるぞ!」
ねとらぼ / 2024年10月28日 19時50分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください