NEC ビジネス向けPC Versapro/MATEシリーズの「PC設定ツールLibrary」の脆弱性についての情報の公開とアップデートの配布のお知らせです。該当のPCを利用中の場合には対処方法を参照の上、早急なアップデートをお勧めします。
■概要
NECのビジネスPC(Mate/VersaPro)に搭載されている「PC設定ツール」のプログラム(PC設定ツールLibrary)には、次の脆弱性が存在します。
・標準ユーザ権限のプログラムから管理者権限でのレジストリ書き込みができてしまう。 - CVE-2023-25011
■対象製品
対象製品シリーズ:Versapro、MATE
2019年1月・2月発表商品、2019年7月・8月発表商品、
2020年1月・2月発表商品、2020年7月・8月発表商品、
2021年1月・2月発表商品、2021年7月・8月発表商品、
2022年2月・3月発表商品、2022年7月発表商品、2022年10月・2023年1月発表商品
型番一覧
https://jpn.nec.com/security-info/secinfo/NV23_001_Products_Affected.txt
■対処方法
以下の手順にて「PC設定ツールLibrary」を最新版にアップデートしてください。
(1) Microsoft Storeにて「PC設定ツール」(PC設定ツールLibraryのバージョンの先頭が"10"の場合)
または「PC設定ツール2.0」(PC設定ツールLibraryのバージョンの先頭が"11"の場合)を更新する。
(2) PC設定ツールを起動する。
(3) 「PC設定ツールLibraryのアップデートがあります。・・・」というメッセージが表示されたら、
「はい」を選んで、画面に表示されるメッセージに従いPC設定ツールLibararyをアップデートする。
(※アップデート後、PCを再起動する必要があります。)
PC設定ツールLibraryが以下のバージョン以降に更新されればアップデート完了です。
・先頭が"10"(10.x.x.x)の場合: 10.1.27.0およびそれ以降 ※「PC設定ツール」
・先頭が"11"(11.x.x.x)の場合: 11.0.23.0およびそれ以降 ※「PC設定ツール2.0」
■リンク
PC設定ツールおける入力値検証の不備に関する脆弱性
https://jpn.nec.com/security-info/secinfo/nv23-001.html
JVN#60320736
日本電気製「PC設定ツール」における重要な機能に対する認証の欠如の脆弱性
https://jvn.jp/jp/JVN60320736/index.html