AWS Patches Vulnerabilities in WorkSpaces, AppStream 2.0, and DCV Clients
2025/01/16 SecurityOnline — 先日に Amazon が発行したのは、WorkSpaces/AppStream 2.0/DCV のネイティブ ・クライアントに影響を及ぼす、2件の脆弱性 CVE-2025-0500/CVE-2025-0501 (CVSSv4:7.7) に関するセキュリティ・アドバイザリである。これらの脆弱性の悪用に成功した攻撃者は、中間者 (MITM) 攻撃を達成し、リモート・セッションへの不正アクセスの可能性を手にする。
脆弱性 CVE-2025-0500 は、Amazon DCV プロトコルを使用する Amazon WorkSpaces のネイティブ・クライアントおよび、Amazon AppStream 2.0/Amazon DCV クライアントに影響を及ぼす。Amazon のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、中間者攻撃を達成し、リモートの WorkSpaces/AppStream/DCV セッションへのアクセスを可能にする」と記されている。
影響を受けるバージョンは以下のとおりである:
- Amazon WorkSpaces:Windows クライアント 5.20.0 以下/macOS クライアント 5.20.0 以下/Linux クライアント 2024.1 以下。
- Amazon AppStream 2.0:Windows クライアント 1.1.1326 以下。
- Amazon DCV:Windows 2023.1.8993 以下を含む、プラットフォーム全体の各種クライアント・バージョン。
脆弱性 CVE-2025-0501 は、PCoIP プロトコルを使用する、Amazon WorkSpaces クライアントに影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、MITM 攻撃を介して、リモート WorkSpaces セッションへの不正アクセスの可能性を得る。
影響を受けるバージョンは、以下のとおりである:
- Amazon WorkSpaces: Windows クライアント 5.22.0 以下/macOS クライアント 5.22.0 以下/Linux クライアント 2024.5 以下、Android クライアント 5.0.0 以下。
すでに Amazon は、Amazon WorkSpaces 5.22.1 (Windows/macOS)/2024.6 (Linux)/5.0.1 (Android) および、Amazon DCV 2023.1.9127 などのパッチ適用バージョンをリリースしている。ユーザーに対して強く推奨されるのは、これらのバージョンへと速やかに更新し、リスクを軽減することである。
AWS クライアアントに存在する、2件の脆弱性が FIXしました。どちらも、CVSSv4 スコアは 7.7 と評価されています。ご利用のチームは、ご注意ください。よろしければ、AWS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.