Published: 2025-02-10 08:00
Defense Platform Home Edition に複数の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月5日、Defense Platform Home Editionにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の塚本泰三氏が報告を行っている。影響を受けるシステムは以下の通り。
Defense Platform Home Edition Ver.3.9.51.x およびそれ以前のバージョン
ハミングヘッズ株式会社が提供するDefense Platform Home Editionには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・特定プロセスにおけるメッセージ処理の不備(CVE-2025-20094)
□当該製品が動作するWindowsシステムの特定プロセスに細工したメッセージを送信された場合、SYSTEM権限で任意のコードを実行される
・不適切な権限管理(CVE-2025-22890)
□特定の操作を実行することで、当該製品が動作するWindowsシステムのSYSTEM権限を取得される
・特定プロセスにおけるメッセージ処理の不備(CVE-2025-22894)
□当該製品が動作するWindowsシステムの特定プロセスに細工したメッセージを送信された場合、当該システム内の任意のファイルを改ざんされ、SYSTEM権限で任意のDLLを実行される
・DeviceIoControlにおけるバッファオーバーフロー(CVE-2025-23236)
□特定の操作を実行することで、当該製品が動作するWindowsシステムのSYSTEM権限を取得される
・DeviceIoControlにおけるNULLポインタ参照(CVE-2025-24483)
□当該製品が動作するWindowsシステムに細工したデータを入力した場合、ブルースクリーン(BSOD)エラーが引き起こされ、サービス運用妨害(DoS)状態を引き起こされる
| # | 言葉 | 意味 |
|---|---|---|
| 6 | 特定 | とくてい (特定) : 1. specific; particular; designated; special 2. specifying; designating; identifying; pinpointing |
| 6 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 5 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 5 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 5 | 動作 | どうさ (動作) : action; movements; motions; bearing; behaviour; behavior; execution; actuation; operation; manners |
| 5 | 権限 | けんげん (権限) : power; authority; jurisdiction |
| 4 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 3 | 細工 | さいく (細工) : 1. work; workmanship; craftsmanship; handiwork 2. artifice; trick; device; tampering; doctoring |
| 3 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 2 | および | および (及び) : and; as well as |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 処理 | しょり (処理) : processing; dealing with; treatment; disposition; disposal |
| 2 | 不備 | ふび (不備) : 1. defect; deficiency; imperfection; inadequacy; lack 2. Yours in haste |
| 2 | 送信 | そうしん (送信) : transmission; sending |
| 2 | 操作 | そうさ (操作) : 1. operation; management; handling 2. manipulating (to one's benefit); manipulation; influencing |
| 2 | 取得 | とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace |
| 2 | 引き起こす | ひきおこす (引き起こす) : 1. to cause; to induce; to bring about; to provoke 2. to pull upright; to help up (e.g. a fallen person) |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 三井物産 | みついぶっさん (三井物産) : Mitsui and Co. (organization) |
| 1 | 塚本 | つかもと (塚本) : Tsukamoto (place; surname) |
| 1 | 泰三 | たいそう (泰三) : Taisou (unclass) |
| 1 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 以前 | いぜん (以前) : ago; since; before; previous |
| 1 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 1 | 下記 | かき (下記) : the following |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 不適切 | ふてきせつ (不適切) : unsuitable; inappropriate; improper |
| 1 | 管理 | かんり (管理) : control; management (e.g. of a business) |
| 1 | 内 | うち (内) : 1. inside; within 2. while (e.g. one is young); during; within (e.g. a day); in the course of |
| 1 | 改ざん | かいざん (改ざん) : alteration; falsification; faking |
| 1 | 参照 | さんしょう (参照) : reference; bibliographical reference; consultation; browsing (e.g. when selecting a file to upload on a computer); checking out |
| 1 | 入力 | にゅうりょく (入力) : input; (data) entry |
| 1 | 運用 | うんよう (運用) : 1. making use of; application; practical use; effective management (e.g. of funds) 2. operation; handling; steering (esp. a boat) |
| 1 | 妨害 | ぼうがい (妨害) : disturbance; obstruction; hindrance; jamming; interference |
| 1 | 状態 | じょうたい (状態) : state; condition; situation; appearance; circumstances |