人気ある生体認証デバイスに脆弱性、細工したQRコードで認証可能
マイナビニュース / 2024年6月13日 8時51分
CVE-2023-3943 - バッファーオーバーフローの脆弱性。攻撃者は任意のコードを実行できる可能性がある
○脆弱性が存在する製品
脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。
ProFace X ZAM170-NF-1.8.25-7354-Ver1.0.0
Smartec ST-FR043 ZAM170-NF-1.8.25-7354-Ver1.0.0
Smartec ST-FR041ME ZAM170-NF-1.8.25-7354-Ver1.0.0
脆弱性は上記の製品の他に同様のハードウェアおよびファームウェアを搭載したOEM製品にも存在するとみられており、正確な影響範囲は不明とされる。
○影響と対策
発見された脆弱性を悪用すると、認証されていない第三者が任意のユーザーとして認証できる可能性がある。実際、Kaspersky LabはSQLコードを含むQRコードを用いて認証できることを確認している。
また、ネットワーク機能からも脆弱性が発見されており、デバイスにアクセスできる認証されていない第三者が遠隔から管理者権限で任意のOSコマンドを実行できる可能性がある。これら脆弱性のうち最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。
Kaspersky Labは発見した脆弱性をベンダーに報告しているが、ベンダーは脆弱性の情報や修正パッチの情報を公開していない。該当製品およびOEM製品を運用する管理者は、影響をベンダーに確認し、必要に応じて製品をアップデートすることが推奨されている。
(後藤大地)
-
-
- 1
- 2
-
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
ASUSの複数のWi-Fi製品に緊急の脆弱性、アップデートを
マイナビニュース / 2024年6月18日 8時20分
-
WindowsのPHPサーバに緊急の脆弱性、確認とアップデートを
マイナビニュース / 2024年6月10日 15時23分
-
脆弱性最新情報 - Check Point VPN、FortiSIEM、Linuxカーネルで悪用確認
マイナビニュース / 2024年6月7日 7時25分
-
ドーモ、サイバーセキュリティ診断サービス「GMOサイバー攻撃 ネットde診断」提供
マイナビニュース / 2024年6月5日 17時57分
ランキング
-
12億画素カメラと120W充電対応で6万円以下! さらに高コスパ化したシャオミ「Redmi Note 13 Pro+ 5G」
ASCII.jp / 2024年6月29日 12時0分
-
2早く歩けよ!ゲーマーに嫌われがちなNPC護衛/尾行ミッション…海外ゲーマーの恨みが募る
Game*Spark / 2024年6月28日 12時30分
-
3オックスフォード大学ご訪問の天皇陛下、“ネクタイの柄”に注目集まる
ねとらぼ / 2024年6月29日 15時9分
-
4華やかな“Copilot+ PC”売り場、でも「それ、Arm版Windowsですよね?」 “分かっている人があえて選ぶPC”が一般層に猛プッシュされている不安
ITmedia PC USER / 2024年6月26日 12時25分
-
5別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)