Windows 10バージョン20H2以前のOSバージョンを搭載した一部システムのHP出荷時にプリインストールされたイメージで、制限されたパス外で特定ファイルを実行することにより、特権の昇格が発生する可能性があります。この潜在的な脆弱性は、2021年10月31日にWindows 10バージョン21H2で修正が開始されました。
高
HPSBHF03830 修正版3
2023年02月02日
2023年10月24日
PC
特権の昇格
レポート元:Ammarit Thongthua、Jompul Sarasorn、Jiraput Thamsongkrah (Secure D Researchチーム)
CVE ID |
CVSS |
重大度 |
ベクトル |
---|---|---|---|
7.3 |
高 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVSS 3.0の基本評価基準 (0~10) に関する詳細はこちらをご覧ください。
PSR-2021-0117
SP142600.exeをインストールします。
お使いのシステムに対してこの解決策を実行する必要がある場合、SP142600.exeをインストールすることが推奨されます。このアップデートは、それ自体で再インストールできます。HPは、最新のファームウェアとソフトウェアを使用してシステムを最新の状態に保つことをお勧めします。
この解決策は、工場出荷時以外のHP イメージ、またはカスタムOSイメージの作成時にも適用されます。
Windows 11を搭載したシステムは影響を受けません。Windows 10 21H2以降のバージョンは影響を受けません。Windows 10 20H2以前を搭載して出荷されるシステムは影響を受けるため、上記の解決策を実施する必要があります。
このドキュメントの改訂履歴は次のとおりです。
バージョン |
説明 |
日付 |
---|---|---|
3 |
解決策に新しい記述を追加しました。 |
2023年10月24日 |
2 |
属性情報の更新 |
2023年05月16日 |
1 |
初回リリース |
2023年02月02日 |
追加情報については、以下のリンクに従ってください。
HPソフトウェア製品を実行するシステムにサードパーティセキュリティパッチをインストールするかどうかは、お客様のパッチ管理方針によります。
このセキュリティ通告の推奨事項の導入に関連して生じる問題については、http://www.hp.com/go/contacthpでHPのカスタマーサポートオプションをご覧ください。
HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポートするには、hp-security-alert@hp.comへメールしてください。
電子メール経由で今後HPセキュリティ通告のアラートを受信するための申し込みは、https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profileにアクセスしてください。
リリースされたセキュリティ情報を確認するには、次のページにアクセスしてくださいhttps://support.hp.com/security-bulletins。
HPに伝えるセキュリティ関連の情報 (特に悪用情報) は、PGPを使用して暗号化することが強く推奨されます。
システム管理とセキュリティの手順は、システムの完全性を維持するためにひんぱんに見直す必要があります。HP は継続的に検討を行い、ソフトウェア製品のセキュリティ機能を強化して、お客様に最新の安全のためのソリューションを提供しています。
HP では、このセキュリティ通告をユーザーに広範に配布して、この通告に含まれる重要なセキュリティ情報により影響を受ける HP 製品に関してアラートを出しています。HP は、すべてのユーザーが、個々の状況に照らしてこの情報の適用性を判定し、適切に対処することをお勧めします。HP はこのセキュリティ情報がすべてのユーザーの状況に対して必ずしも正確である、あるいは完全であるとは保証しません。従って、HP は、ユーザーがこの通告で提供された情報を使用したことで、あるいは無視したことで生じたいかなる損害にも責任を負いません。法律で許可される範囲内において、HP は、明示的か黙示的かにかかわらず、特定の目的に対する商品性と適合性、権原、および権利の非侵害性など、あらゆる保証から免責されるものとします。
© Copyright 2023 HP Development Company, L.P.
HP Inc. (HP) は、本書の内容の技術上または編集上の誤りまたは省略に責任を負いません。提供される情報は「現状有姿」で提供され、いかなる保証もない「現状有姿」で提供されます。法律で許可される範囲内において、HP もその関連会社、下請け業者、またはサプライヤーは、ダウンタイム費用を含む偶発的、特殊的、または結果的損害に対し、一切の責任を負いません。利益損失、代替製品またはサービスの調達に関連する損害あるいは、データの喪失またはソフトウェアの復元による損害。本書の内容は、将来予告なしに変更されることがあります。「HP Inc.」、「HP」およびここに記載されている HP 製品の名前は、HP Inc. またはその関連会社の米国およびその他の国における商標です。ここに掲載されているその他の製品名や会社名は、それぞれの所有者の商標の可能性があります。