公開日:2021/09/10 最終更新日:2021/09/10

JVN#81658818
RevoWorks Browser における複数の脆弱性

概要

ジェイズ・コミュニケーション株式会社が提供する RevoWorks Browser には、複数の脆弱性が存在します。

影響を受けるシステム

  • RevoWorks Browser 2.1.230 およびそれ以前のバージョン
開発者によると、RevoWorks Browser 2.0.x は本脆弱性の影響を受けないとのことです。

詳細情報

ジェイズ・コミュニケーション株式会社が提供する RevoWorks Browser は、インターネット分離を実現するための仮想ブラウザです。当該製品はウェブブラウザ実行時のドライブ、フォルダ、ファイルおよびレジストリへのアクセスを、ローカル環境とは異なる分離環境で実行する機能があります。
当該製品には、ローカル環境と分離環境間の権限制御不備に起因した、次の複数の脆弱性が存在します。

  • プログラム実行の制御不備 (CWE-114) - CVE-2021-20790
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H 基本値: 8.6
    CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:P 基本値: 6.8
  • アクセス制限不備 (CWE-284) - CVE-2021-20791
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N 基本値: 5.2
    CVSS v2 AV:L/AC:L/Au:S/C:P/I:P/A:N 基本値: 3.2

想定される影響

想定される影響は各脆弱性により異なりますが、当該製品にアクセス可能なユーザによって、次のような影響を受ける可能性があります。

  • 分離環境で実行しているウェブブラウザ上で、任意のコマンドやコードを実行される - CVE-2021-20790
  • ローカル環境と分離環境間で、本来許可されていないファイル交換を実行されたり、ウェブブラウザの設定を改ざんされたりする - CVE-2021-20791

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した RevoWorks Browser 2.2.50 をリリースしています。

ベンダ情報

ベンダ リンク
ジェイズ・コミュニケーション株式会社 【重要】RevoWorks Browserの複数の脆弱性(CVE-2021-20790、CVE-2021-20791)に関する注意喚起

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-20790
CVE-2021-20791
JVN iPedia JVNDB-2021-000074