お知らせ

【重要】特定フォルダにおけるアクセス制限不備の脆弱性(CVE-2024-21805) / 常駐プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-24964)

2024年03月07日(2024年7月29日更新)

Sky株式会社

平素より、当サイトをご利用いただきありがとうございます。弊社商品「SKYSEA Client View」において、下記2件の脆弱性が確認されました。

(1)特定フォルダにおけるアクセス制限不備の脆弱性
SKYSEA Client View のサービス起動時、サービスプロセスに任意のDLLをロードさせ、任意のコードを実行することができる脆弱性
(2)常駐プロセスにおけるアクセス制限不備の脆弱性
SKYSEA Client View の常駐プロセスを利用して、ユーザー権限のプロセスから管理者権限のプロセスが起動できる脆弱性

本脆弱性は、コンピューター内の実行プロセスにとどまる脆弱性であることから、リモートで悪意のあるコードを実行させるようなものではございません。また、悪用報告等もございません。

本脆弱性への対策として、保守契約ユーザー用Webサイト( https://sp.skyseaclientview.net/topics/detail_2786.html )にて、本件への対策を含むアップデートモジュールならびに、修正モジュールの提供を行っております。お手数をおかけいたしますが、下記対象バージョンについて新しいバージョンへのアップデートを実施いただくか、修正モジュールを適用いただきますようお願いいたします。

2024年7月29日追記

2024年3⽉7⽇に公表した時点では、(1)において影響を受ける製品のバージョンは Ver.16.100.6f ~ 19.101.01a としておりましたが、その後さらなる修正を行った Ver.19.300.09h ならびに修正モジュールをリリースいたしました。
アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトをご覧ください。
保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2786.html
※ログインには、ユーザーIDとパスワードが必要です。

影響を受けるプログラムの詳細は以下のとおりです。

CVE識別番号(CVE-ID) (1)CVE-2024-21805 / (2)CVE-2024-24964
製品 SKYSEA Client View
対象バージョン (1)Ver.16.100.06f ~ 19.210.04e / (2)Ver.11.220.05p ~ 19.101.01a
対象プログラム ・マスターサーバー(グローバルマスターサーバー、セカンダリサーバーを含む)
・管理機
・端末機
・スタンドアロン端末機
※いずれもWindows OSが対象です
CVSS 3.0スコア (1)3.3 / (2)7.8

アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトより提供しております。

保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2786.html
※ログインには、ユーザーIDとパスワードが必要です。

また、本件に関するFAQについては、以下のWebサイトをご覧ください。

脆弱性(CVE-2024-21805)(CVE-2024-24964)に関する FAQ
https://sp.skyseaclientview.net/faq/detail_1030.html
※ログインには、ユーザーIDとパスワードが必要です。

本脆弱性に関しては、脆弱性情報のハンドリングポリシーに従い、 以下の対応を弊社にて実施しております。

  • サポートニュースによるお客様へのご連絡
  • 製品サイト / 保守契約ユーザー用Webサイトでの告知
  • 対策済みバージョンへのアップデーターのリリース
  • サポート中のバージョンに対する対策パッチのリリース

ご利用の皆さまには大変ご迷惑をおかけいたしますが、何卒よろしくお願いいたします。

  • SKYSEA および SKYSEA Client View は、Sky株式会社の登録商標です。
  • 記載されている会社名、商品名は、各社の登録商標または商標です。
  • 本文中に記載されているテキストおよび画像(写真、イラスト等)の一部または全部を改変することは、いかなる理由、形態を問わず禁じます。
  • 掲載されている情報は、発表日現在のものです。その後予告なしに変更されることがありますので、あらかじめご了承ください。