HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、
BetaNews の記事)。
この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。
脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。
| セキュリティ
| HP
| ソフトウェア
| プリンター
| バグ
|
関連ストーリー:
Windows Serverに17年前から存在していたバグが修正される
2020年07月18日
11年前にLinux版のFirefox 2で報告されたバグ、Firefox 57で修正へ
2017年09月09日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される
2016年10月22日
Firefox 41、14年前に報告されたバグの修正でAdblock Plus使用時のメモリー消費量が大幅に減少
2015年09月26日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範
2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正
2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在
2014年07月02日