公開日:2009/02/23 最終更新日:2009/03/09
JVN#16767117
ソニー製ネットワークカメラ SNC シリーズの ActiveX コントロールにおけるバッファオーバーフローの脆弱性
ソニー製ネットワークカメラ SNC シリーズの ActiveX コントロールには、ヒープバッファオーバーフローの脆弱性が存在します。
下記対象システムから ActiveX コントロールモジュールをインストールした端末
- SNC-RZ25N 1.30 より前のバージョン
- SNC-P1 1.29 より前のバージョン
- SNC-P5 1.29 より前のバージョン
- SNC-CS10 1.06 より前のバージョン
- SNC-CS11 1.06 より前のバージョン
- SNC-DF40N 1.18 より前のバージョン
- SNC-DF70N 1.18 より前のバージョン
- SNC-RZ50N 2.22 より前のバージョン
- SNC-CS50N 2.22 より前のバージョン
- SNC-DF85N 1.12 より前のバージョン
- SNC-DF80N 1.12 より前のバージョン
- SNC-DF50N 1.12 より前のバージョン
- SNC-RX570N/W 3.00 または 2.31 より前のバージョン
- SNC-RX570N/B 3.00 または 2.31 より前のバージョン
- SNC-RX550N/W 3.00 または 2.31 より前のバージョン
- SNC-RX550N/B 3.00 または 2.31 より前のバージョン
- SNC-RX530N/W 3.00 または 2.31 より前のバージョン
- SNC-RX530N/B 3.00 または 2.31 より前のバージョン
- SNC-RZ25P 1.30 より前のバージョン
- SNC-DF70P 1.18 より前のバージョン
- SNC-DF40P 1.18 より前のバージョン
- SNC-RZ50P 2.22 より前のバージョン
- SNC-CS50P 2.22 より前のバージョン
- SNC-DF85P 1.12 より前のバージョン
- SNC-DF80P 1.12 より前のバージョン
- SNC-DF50P 1.12 より前のバージョン
- SNC-RX570P 3.00 または 2.31 より前のバージョン
- SNC-RX550P 3.00 または 2.31 より前のバージョン
- SNC-RX530P 3.00 または 2.31 より前のバージョン
ソニー製ネットワークカメラ SNC シリーズの ActiveX コントロールは、ネットワーク経由でブラウザ上から映像をモニタリングするためのソフトウェアです。この ActiveXコントロールには、設定変数の一部の処理が適切に行われないため、ヒープバッファオーバーフローの脆弱性が存在します。
遠隔の第三者によって任意のコードを実行される可能性があります。
アップデートする
詳しくは、ベンダの提供する情報をもとにアップデートしてください。
2009.02.23における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2007-3488 |
| JVN iPedia |
JVNDB-2009-000012 |
- 2009/02/23
- 参考情報に IPA 注意喚起を追記しました。
- 2009/03/09
- ソニー株式会社の JVN#16767117への対応が更新されました。
- 2009/03/09
- ソニー株式会社の JVN#16767117への対応が更新されました。
