Go Pro Fusion Studio
Go Pro Fusion Studioバージョン1.2には、ローカル権限昇格の脆弱性が存在します。 Go Pro Fusion Studioは、GoProカメラシリーズを使用して作成されたメディア専用のすべてのフッテージ編集および変更機能を組み込んだ特別に設計された編集ソフトウェアです。 GoProカメラとGoPro FusionStudioはどちらもGoPro、Inc。の製品です。編集プラットフォームは、ベンダーのWebサイトからダウンロードして、MicrosoftのWindowsオペレーティングシステムとAppleのMacOSXにインストールできます。
この脆弱性は、2018年8月27日にMicrosoft Windows 10Professional上のGoPro Fusion Studioのバージョン1.2.1.400でHumbertoCabreraによって発見されました。ベンダーは同じ日に連絡を受けましたが、9月3日まで応答がありませんでした。カブレラによって報告されました。ザ・ 現在影響を受けるバージョン Go Pro FusionStudioの5日にリリースされましたth2018年6月、WindowsとMacOSXの両方。新しいバージョンはこのセキュリティ上の懸念を解決することが期待されていますが、ベンダーはこれまで沈黙を守っていたため、このバージョンがいつ開発されるか、または市場に出るかについての明確な情報はありません。
による脆弱性の予備分析によると ゼロサイエンスラボ 、Go Pro Fusion Studioは、「GoPro Fusion Studioアプリソリューションの一部として展開されたWindows用のサービス「GoProFusionDeviceDetectionService」に影響を与える引用符のない検索パスの問題に苦しんでいます。」この脆弱性はリモートで悪用できないため、誰かがネイティブデバイスにアクセスできる必要がありますシステムの特権をエスカレートします。これは、デバイスで作業している許可されていないユーザーが、任意のコードの実行を通じてこの脆弱性を悪用する可能性があることを意味します。
とはいえ、この脆弱性を悪用するには、悪意のある攻撃者が、オペレーティングシステムや、ウイルス対策ソフトウェアなどのローカルセキュリティメカニズムに捕らえられたり、攻撃を受けたりすることなく、システムのルートパスにあるファイルを含むコードを忍び込む必要があります。 Go Pro Fusion Studioの実行時にコードを実行できるように、コードを挿入する必要があります。ソフトウェアが実行されると、挿入されたコードにより、ユーザーはアプリケーションの昇格された特権を続行できます。
