掲載番号:NV23-001
脆弱性情報識別番号:CVE-2023-25011

概要

NECのビジネスPC(Mate/VersaPro)に搭載されている「PC設定ツール」のプログラム（PC設定ツールLibrary）には、次の脆弱性が存在します。

・標準ユーザ権限のプログラムから管理者権限でのレジストリ書き込みができてしまう。 - CVE-2023-25011

対象製品

PC設定ツール

対象となる製品のバージョン

インストールされている「PC設定ツールLibrary」のバージョンが以下のシステム
　先頭が"10"（10.x.x.x）の場合：　10.1.26.0およびそれ以前　※「PC設定ツール」
　先頭が"11"（11.x.x.x）の場合：　11.0.22.0およびそれ以前　※「PC設定ツール2.0」

システムの型番から影響を確認したい場合、こちらをご確認ください。

対処方法

以下の手順にて「PC設定ツールLibrary」を最新版にアップデートしてください。
(1) Microsoft Storeにて「PC設定ツール」（PC設定ツールLibraryのバージョンの先頭が"10"の場合）
　　または「PC設定ツール2.0」（PC設定ツールLibraryのバージョンの先頭が"11"の場合）を更新する。
(2) PC設定ツールを起動する。
(3) 「PC設定ツールLibraryのアップデートがあります。・・・」というメッセージが表示されたら、
　　「はい」を選んで、画面に表示されるメッセージに従いPC設定ツールLibararyをアップデートする。
　　（※アップデート後、PCを再起動する必要があります。）

PC設定ツールLibraryが以下のバージョン以降に更新されればアップデート完了です。
・先頭が"10"（10.x.x.x）の場合：　10.1.27.0およびそれ以降　※「PC設定ツール」
・先頭が"11"（11.x.x.x）の場合：　11.0.23.0およびそれ以降　※「PC設定ツール2.0」

Microsoft Storeに公開のバージョンはアプリのバージョンで、Libraryのバージョンではございません。
Libraryのバージョンは、「アプリと機能」または「インストールされているアプリ」から「PC設定ツールLibrary」を選択して、記載のバージョンをご確認ください。

参考情報

CVE-2023-25011
https://www.cve.org/CVERecord?id=CVE-2023-25011

謝辞

本脆弱性の発見者である 株式会社ラック 矢谷 春樹様 に厚く御礼申し上げます。

更新情報