「Intel Remote Keyboard」アプリのユーザーをキージャッキングの脅威にさらす深刻な脆弱性が見つかった。Intelは同アプリのアンインストールを推奨している。
Intelは米国時間4月3日、バグについて記述したセキュリティ勧告を公開した。Intel Remote Keyboardは、「iOS」と「Android」デバイス向けに提供されていた。
脆弱性「CVE-2018-3641」は深刻度が「Critical」(緊急)に分類されている。このバグは、「Intel Remote Keyboardの全バージョンで特権昇格」を許すもので、「ネットワーク攻撃者はローカルユーザーとしてキーストロークインジェクションを実行できる」という。
Intelはまた、同アプリに影響を及ぼす脆弱性をさらに2件明らかにした。「CVE-2018-3638」は深刻度が「High」(高)の脆弱性で、認証されたローカル攻撃の特権昇格を許し、攻撃者は特権ユーザーとして任意のコードを実行できる。
2件目の脆弱性「CVE-2018-3645」は、ローカル攻撃者が許可なく別のリモートキーボードセッションにキーストロークインジェクションを実行できてしまう。
これらのセキュリティ脆弱性の影響を受けるのは同アプリケーションの全バージョンに及ぶが、Intelにパッチを提供する意向はないようだ。
ユーザーが脅威から身を守るには、単にアプリケーションを削除することが求められる。
Intelは次のように述べている。「IntelはIntel Remote Keyboardの『Product Discontinuation』(製品終了)通知を出しており、Intel Remote Keyboardのユーザーは同製品をなるべく早くアンインストールすることが推奨される」
Intelがパッチを作成するのではなくソフトウェアの提供を打ち切るのは異例だが、同社の広報担当者がThreatpostに述べたところによると、同製品はいずれにせよ終了する予定だったもので、「提供打ち切りは今回のセキュリティ勧告とは関係ない」という。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanで全文を見る
0 件のコメント:
コメントを投稿