NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2023-35841

概要	Exposed IOCTL with Insufficient Access Control in Phoenix WinFlash Driver on Windows allows Privilege Escalation which allows for modification of system firmware.This issue affects WinFlash Driver: before 4.5.0.0.
公表日	2024年5月15日1:15
登録日	2024年5月15日10:02
最終更新日	2024年11月21日17:08

関連情報、対策とツール

No	URL	refsource	タグ
1	https://blogs.vmware.com/security/2023/10/hunting-vulnerable-kernel-drivers.html
2	https://jvn.jp/en/vu/JVNVU93886750/index.html
3	https://www.phoenix.com/security-notifications/cve-2023-35841/
4	https://blogs.vmware.com/security/2023/10/hunting-vulnerable-kernel-drivers.html
5	https://www.phoenix.com/security-notifications/cve-2023-35841/
6	https://jvn.jp/en/vu/JVNVU93886750/index.html

共通脆弱性一覧

JVN脆弱性情報

Phoenix Technologies 製 Windows カーネルドライバーにおける IOCTL に対する不十分なアクセス制御の脆弱性

タイトル	Phoenix Technologies 製 Windows カーネルドライバーにおける IOCTL に対する不十分なアクセス制御の脆弱性
概要	Phoenix Technologies Inc. が提供する Windows カーネルドライバーの一部には、IOCTL に対する不十分なアクセス制御の脆弱性 (CWE-782、CVE-2023-35841) が存在します。この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。報告者: VMware 春山敬宏氏
想定される影響	管理者権限を持たないユーザが特定の IOCTL リクエストを送付することで、任意のハードウェアポートや物理アドレスに対する I/O が可能となり、結果としてファームウェアの消去や改ざんをされる可能性があります。
対策	[開発者に連絡する] 開発者によると、本件の影響を受ける可能性のあるユーザには、2023年6月に本脆弱性の対策済みドライバーを提供したとのことです。詳細は、開発者にお問い合わせください。
公表日	2023年8月28日0:00
登録日	2023年8月30日9:36
最終更新日	2023年8月30日9:36

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-35841	https://www.cve.org/CVERecord?id=CVE-2023-35841

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-782	https://cwe.mitre.org/data/definitions/782.html

ベンダー情報

No	名前	URL
Phoenix Technologies
1	Support	https://www.phoenix.com/support/

その他

No	名前	URL
JVN
1	JVNVU#93886750	https://jvn.jp/vu/JVNVU93886750/index.html

変更履歴

No	変更内容	変更日
1	[2023年08月30日] 掲載	2023年8月30日9:36