Microsoft 脆弱性調査アドバイザリ MSVR11-016
NVIDIA ステレオスコピック 3D ドライバーの脆弱性により、特権が昇格される
公開日: 2011 年 12 月 20 日
バージョン: 1.0
概要
概要
Microsoft は、NVIDIA ステレオスコピック 3D ドライバーに影響を与える脆弱性の検出と修復に関する通知を提供しています。 Microsoft は、影響を受けるベンダーである NVIDIA に対して、調整された脆弱性の開示の下で脆弱性を検出し、開示しました。 NVIDIA は、ソフトウェアの脆弱性を修復しました。
NVIDIA 立体 3D ドライバーが名前付きパイプに対する特定のコマンドを正しく検証してサニタイズできない場合、脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、ローカル システムのセキュリティ コンテキストでコマンドを実行し、影響を受けるシステムを完全に制御する可能性があります。 攻撃者はその後、プログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全な管理者権限を持つ新しいアカウントを作成します。
Microsoft 脆弱性調査は、この問題を報告し、NVIDIA と連携して、この問題の修復を確実に行いました。 この脆弱性には、一般的な脆弱性と露出の一覧に CVE-2011-4784 というエントリが割り当てられます。 NVIDIA からの更新プログラムの詳細については、NVIDIA ドライバーのダウンロード ページを参照してください。
軽減要因
- 攻撃者がこの脆弱性を悪用するには、有効なログオン資格情報を持ち、ローカルでログオンできる必要があります。
- この脆弱性は、電子メールまたはWebサイトを介して自動的に悪用されることはできません。
アドバイザリの詳細
目的と推奨事項
アドバイザリの目的: 脆弱性とその修復をユーザーに通知するため。
アドバイザリの状態: アドバイザリが公開されました。
推奨事項: [推奨されるアクション] セクションを確認し、必要に応じて構成します。
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
| リファレンス | [識別] |
|---|---|
| 一般的な脆弱性と露出 | CVE-2011-4784 |
影響を受けるソフトウェアと影響を受けないもの
このアドバイザリでは、次のソフトウェアについて説明します。
| 影響を受けるソフトウェア |
|---|
| NVIDIA 立体 3D ドライバー 7.17.12.7536 以前のバージョン |
| 影響を受けるソフトウェア以外のソフトウェア |
| NVIDIA 立体 3D ドライバー 7.17.12.7565 以降のバージョン |
よく寄せられる質問
このアドバイザリの範囲は何ですか?
このアドバイザリは、影響を受けるベンダーとの調整されたリリースの一部であり、システムに影響を与える可能性のあるセキュリティの問題をお客様に通知します。
これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 この脆弱性は、影響を受けるサード パーティ ベンダーの更新プログラムによって修正されています。 この更新プログラムは、 影響を受けるソフトウェアの表に記載されているソフトウェアを修復します。
この脆弱性の範囲は何ですか?
これは特権の昇格の脆弱性であり、既に有効なユーザー アカウントを持っている攻撃者がローカル システムのセキュリティ コンテキストでコマンドを実行する可能性があります。
この脆弱性の原因は何ですか?
この脆弱性は、NVIDIA ステレオスコピック 3D ドライバーが名前付きパイプに対する特定のコマンドを正しく検証およびサニタイズできない場合に存在します。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、ローカル システムのセキュリティ コンテキストで影響を受けるシステムを完全に制御する可能性があります。 攻撃者はその後、プログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全な管理権限を持つ新しいアカウントを作成します。
攻撃者がこの脆弱性を悪用する方法
攻撃者がターゲット システムにローカルにログオンしている場合、特定のコマンドを名前付きパイプに送信することにより、この脆弱性が悪用される可能性があります。
推奨されるアクション
NVIDIA ドライバーの 最新バージョンをダウンロードして使用します。
その他の情報
謝辞
Microsoft では、次の内容に感謝 しています。
- Microsoft 脆弱性調査と協力してこの脆弱性を報告および修復するための Microsoft マルウェア プロテクション センター (MMPC) のチョン・ウク・オ
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2011 年 12 月 20 日): アドバイザリが公開されました。
ビルド日: 2014-04-18T13:49:36Z-07:00