JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月28日、「JVNVU#93455283: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性」において、キヤノンのスモールオフィス向け複合機およびレーザープリンタに緊急の脆弱性が存在するとして、注意を喚起した。
対象の脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のコードを実行される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- スモールオフィス向け複合機に関する脆弱性対応について|サポート|キヤノン
- Product Security - Canon Europe
- Service Notice: Regarding Vulnerability Measure Against Buffer Overflow for Laser Printers and Small Office Multifunctional Printers | Canon U.S.A., Inc.
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-12647 - CPCAフォントダウンロード処理にバッファオーバーフローの脆弱性。攻撃者はサービス運用妨害(DoS: Denial of Service)または任意のコードを実行する可能性がある(CVSSスコア: 9.8)
- CVE-2024-12648 - TIFFファイルのEXIFタグ処理にバッファオーバーフローの脆弱性。攻撃者はサービス運用妨害または任意のコードを実行する可能性がある(CVSSスコア: 9.8)
- CVE-2024-12649 - XPSデータフォント処理にバッファオーバーフローの脆弱性。攻撃者はサービス運用妨害または任意のコードを実行する可能性がある(CVSSスコア: 9.8)
脆弱性が存在する製品
脆弱性が存在する製品およびファームウェアバージョンは次のとおり。
- MF656Cdw Ver5.04およびこれ以前のバージョン
- MF654Cdw Ver5.04およびこれ以前のバージョン
- i-SENSYS LBP631Cw V05.04およびこれ以前のバージョン
- i-SENSYS LBP633Cdw V05.04およびこれ以前のバージョン
- i-SENSYS MF651Cw V05.04およびこれ以前のバージョン
- i-SENSYS MF655Cdw V05.04およびこれ以前のバージョン
- i-SENSYS MF657Cdw V05.04およびこれ以前のバージョン
- MF653Cdw V05.04およびこれ以前のバージョン
- MF652Cw V05.04およびこれ以前のバージョン
- LBP632Cdw V05.04およびこれ以前のバージョン
- LBP633Cdw V05.04およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびファームウェアバージョンは次のとおり。
- MF656Cdw Ver5.07
- MF654Cdw Ver5.07
- i-SENSYS LBP631Cw V05.07
- i-SENSYS LBP633Cdw V05.07
- i-SENSYS MF651Cw V05.07
- i-SENSYS MF655Cdw V05.07
- i-SENSYS MF657Cdw V05.07
- MF653Cdw V05.07
- MF652Cw V05.07
- LBP632Cdw V05.07
- LBP633Cdw V05.07
発見された脆弱性の深刻度はすべて緊急(Critical)と評価されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートすることを推奨している。