JVNVU#95927790
OS X 向け Alertus Desktop Notification に不適切な権限設定の問題
OS X 向け Alertus Desktop Notification は、設定ファイルその他のファイルアクセス権限がセキュアでないため、権限を持たない攻撃者が通知を無効にしたり、コンテンツを改ざんしたりすることが可能です。
- OS X 向け Alertus Desktop Notification version 2.9.30.1700 およびそれ以前
不適切なデフォルトパーミッション (CWE-276) - CVE-2016-5087
Alertus Desktop Notification は、緊急通知を受信して PC や Mac などのクライアントシステム上で表示するためのソフトウェアです。OS X 向け Alertus Desktop Notification は、設定ファイルなどのファイルアクセス権限がセキュアでないため、クライアントシステムにログインできる攻撃者が、通知を無効にしたりコンテンツを改ざんしたりすることが可能です。
ログイン可能な攻撃者によって、設定ファイルやその他のファイルを削除されることで通知を無効化されたり、コンテンツを改ざんされたりする可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した version 2.9.31.1710 をリリースしています。
ワークアラウンドを実施する
開発者は、当該製品のアップデートができない、またはアップデートを望まないユーザ向けに次のように述べています。
We are providing a script that fixes the permissions if an upgrade cannot be performed. Refer to the URL below for script and more information:
(アップグレードができない環境向けに、アクセス権限を修正するスクリプトを提供しています。スクリプトや更なる情報は以下の URL をご確認ください)
https://helpdesk.alertus.com/solution/articles/3000054559-osx-permissions-patch-script-for-alertus-desktop-osx-2-9-30-1700
| ベンダ | リンク |
| Alertus Technologies | Alertus Customer Portal (要ログイン) |
-
Vulnerability Note VU#302544
Alertus Desktop Notification for OS X sets insecure permissions for configuration and other files
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
