CVE-2024-42458 (CVSS 9.8) – New Security Vulnerability in Neat VNC: Urgent Patch Released
2024/08/08 SecurityOnline — EDP アクセスや画面共有に使用される、人気のオープンソース VNC サーバ・ライブラリである Neat VNC に、セキュリティの脆弱性 CVE-2024-42458 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した攻撃者は認証をバイパスし、影響を受けるバージョンの Neat VNC を実行しているシステムに、不正アクセスする可能性を手にする。
脆弱性 CVE-2024-42458 は、Neat VNC バージョン 0.8.1 以前の、”server.c” ファイルに見つかった深刻なセキュリティ上の欠陥である。この脆弱性は、セキュリティ・タイプの不適切な検証に起因しており、リモートの攻撃者に対して認証メカニズムのバイパスを許す可能性のある欠陥である。この問題の背景にあるのは、RealVNC 4.1.1 および同様の製品に影響を与え、安全ではないセキュリティ・タイプを攻撃者が指定することで、認証バイパスを可能にする古い脆弱性 CVE-2006-2369 である。
先週に、このプロジェクトのメンテナは、Neat VNC のバージョン0.8.1 をリリースすることで、この脆弱性などの修正を行っている。このリリースの変更履歴には、セキュリティ上の欠陥への対処が明記されており、メンテナから強く推奨されるのは、可能な限り早急にシステムをアップグレードし、潜在的なリスクを軽減することだ。
この脆弱性は、セキュリティ研究者である Dane Bouchie と Travis Wise により報告されている。
脆弱性CVE-2024-42458 の致命的な性質を考慮すると、すべての Neat VNC ユーザーと管理者は、遅滞なくバージョン 0.8.1 へとアップデートする必要がある。Neat VNC を使用するシステムのセキュリティと完全性を確保し、潜在的な悪用を防止するために、このアップデートは極めて重要である。
Neat VNC についてググってみましたが、それらしい説明は見つかりませんでした。まだ、バージョンが 0.8.1 ということなので、これからのプロジェクトなのだろうと思います。もし、ご利用でしたら、ご注意ください。よろしければ、VNC で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.