JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月28日、「JVNVU#93455283: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性」において、キヤノンのスモールオフィス向け複合機およびレーザープリンタに緊急の脆弱性が存在するとして、注意を喚起した。

対象の脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のコードを実行される可能性がある。

  • JVNVU#93455283: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性

    JVNVU#93455283: キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-12647 - CPCAフォントダウンロード処理にバッファオーバーフローの脆弱性。攻撃者はサービス運用妨害(DoS: Denial of Service)または任意のコードを実行する可能性がある(CVSSスコア: 9.8)
  • CVE-2024-12648 - TIFFファイルのEXIFタグ処理にバッファオーバーフローの脆弱性。攻撃者はサービス運用妨害または任意のコードを実行する可能性がある(CVSSスコア: 9.8)
  • CVE-2024-12649 - XPSデータフォント処理にバッファオーバーフローの脆弱性。攻撃者はサービス運用妨害または任意のコードを実行する可能性がある(CVSSスコア: 9.8)

脆弱性が存在する製品

脆弱性が存在する製品およびファームウェアバージョンは次のとおり。

  • MF656Cdw Ver5.04およびこれ以前のバージョン
  • MF654Cdw Ver5.04およびこれ以前のバージョン
  • i-SENSYS LBP631Cw V05.04およびこれ以前のバージョン
  • i-SENSYS LBP633Cdw V05.04およびこれ以前のバージョン
  • i-SENSYS MF651Cw V05.04およびこれ以前のバージョン
  • i-SENSYS MF655Cdw V05.04およびこれ以前のバージョン
  • i-SENSYS MF657Cdw V05.04およびこれ以前のバージョン
  • MF653Cdw V05.04およびこれ以前のバージョン
  • MF652Cw V05.04およびこれ以前のバージョン
  • LBP632Cdw V05.04およびこれ以前のバージョン
  • LBP633Cdw V05.04およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

  • MF656Cdw Ver5.07
  • MF654Cdw Ver5.07
  • i-SENSYS LBP631Cw V05.07
  • i-SENSYS LBP633Cdw V05.07
  • i-SENSYS MF651Cw V05.07
  • i-SENSYS MF655Cdw V05.07
  • i-SENSYS MF657Cdw V05.07
  • MF653Cdw V05.07
  • MF652Cw V05.07
  • LBP632Cdw V05.07
  • LBP633Cdw V05.07

発見された脆弱性の深刻度はすべて緊急(Critical)と評価されており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートすることを推奨している。