Home
掲示板
2021年08月23日
【セキュリティ】Razer製デバイスを接続するだけでシステム権限を取得できる脆弱性 [香味焙煎★]
【セキュリティ】Razer製デバイスを接続するだけでシステム権限を取得できる脆弱性 [香味焙煎★]
https://asahi.5ch.net/test/read.cgi/newsplus/1629701529
/>
Twitterユーザー“jonhat”氏は、Razerのデバイスを接続するだけでWindowsのシステム権限を取得できてしまう脆弱性を報告している。既に複数の海外メディアで報じられている。
Razer製デバイスをWindows 10のPCに接続すると、Windows Update経由でドライバがダウンロードされるのだが、その中で「Razer Synapse」などのユーティリティをインストールするためのインストーラが自動で立ち上がる仕組みが用意されている。問題は、このインストーラがシステム権限で起動していることだ。
このインストーラではインストール先を自由に変更できるのだが、その際のフォルダ選択ウィンドウで任意のフォルダを選択して、Shift+右クリックでコンテキストメニューを出して「PowerShellウィンドウをここで開く」と選択すると、システム権限を持つPowerShellが立ち上がってしまう。こうすると攻撃者はシステムに対し自由に攻撃を行なうことが可能となる。
もちろん、攻撃者はローカルで攻撃をする必要があるが、難易度が低い上に、Razer製デバイスを所持していなくてもデバイスIDを偽装した攻撃が行なえるため、MicrosoftならびにRazerには早急な対策に期待したい。
Impress
https://pc.watch.impress.co.jp/docs/news/1345502.html
き・・・脆弱
RAZERって発熱でクソ熱いから夏場は駄目なんだよな
なんとかならんのあれ?
last-modified: 2021-08-23 20:06:07