製品・ソフトウェアに関する情報

JVN脆弱性詳細

Cisco Secure Desktop の WebLaunch 機能における任意のコードを実行される脆弱性

Title	Cisco Secure Desktop の WebLaunch 機能における任意のコードを実行される脆弱性
Summary	Cisco Secure Desktop の WebLaunch 機能は、ダウンローダプロセスにより受信するバイナリを適切に検証しないため、任意のコードを実行される脆弱性が存在します。本問題は、Bug ID CSCtz76128、および CSCtz78204 の問題です。
Possible impacts	第三者により、(1) ActiveX または (2) Java コンポーネントを介して、任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 20, 2012, midnight
Registration Date	Sept. 25, 2012, 11:41 a.m.
Last Update	Dec. 20, 2012, 2:13 p.m.

Affected System

シスコシステムズ

Cisco Secure Desktop 3.6.6020 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-4655	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4655
National Vulnerability Database (NVD)
2	CVE-2012-4655	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4655

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Cisco Security Advisory
1	cisco-sa-20120620-ac	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac
Microsoft Security Advisory
2	Update Rollup for ActiveX Kill Bits (2736233)	http://technet.microsoft.com/en-us/security/advisory/2736233
Oracle Technology Network
3	Java SE Development Kit 6, Update 37 (JDK 6u37)	http://www.oracle.com/technetwork/java/javase/6u37-relnotes-1863283.html
4	Java SE Development Kit 7, Update 9 (JDK 7u9)	http://www.oracle.com/technetwork/java/javase/7u9-relnotes-1863279.html
シスコセキュリティアドバイザリ
5	cisco-sa-20120620-ac	http://www.cisco.com/cisco/web/support/JP/111/1115/1115492_cisco-sa-20120620-ac-j.html
マイクロソフトセキュリティアドバイザリ
6	ActiveX の Kill Bit 更新プログラムのロールアップ (2736233)	http://technet.microsoft.com/ja-jp/security/advisory/2736233

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載 [2012年12月20日] ベンダ情報：マイクロソフト (2736233) を追加ベンダ情報：オラクル (Java SE Development Kit 7, Update 9 (JDK 7u9)) を追加ベンダ情報：オラクル (Java SE Development Kit 6, Update 37 (JDK 6u37)) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-4655

Summary	The WebLaunch feature in Cisco Secure Desktop before 3.6.6020 does not properly validate binaries that are received by the downloader process, which allows remote attackers to execute arbitrary code via vectors involving (1) ActiveX or (2) Java components, aka Bug IDs CSCtz76128 and CSCtz78204.
Publication Date	Sept. 25, 2012, 2:55 a.m.
Registration Date	Jan. 28, 2021, 3:03 p.m.
Last Update	Nov. 21, 2024, 10:43 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://secunia.com/advisories/50669
2	http://secunia.com/advisories/50669
3	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac	Vendor Advisory
4	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac	Vendor Advisory
5	http://www.securityfocus.com/bid/55606
6	http://www.securityfocus.com/bid/55606
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/78677
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/78677

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html