重要な脆弱性情報 脆弱性情報ID WIBU-100120 脆弱性情報タイトル WindowsにおけるCodeMeterインストーラーを通じた権限昇格 CVSS評価 CVSSv3.1 ベーススコア: 7.7 CVSSv3.1 ベクタ: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H 脆弱性の説明 問題: Windows上のCodeMeter Installerには、特定の条件下で非特権アカウントから権限昇格を許可する脆弱性が存在します。インストール後、組み込み管理者アカウントを使用しUAC(ユーザーアカウント制御)が有効になっている場合、CodeMeterはシステム権限でCodeMeter Control Centerを起動し、手動で閉じるかユーザーがログオフするまでその権限を維持します。 影響を受ける製品 対象バージョン: CodeMeter Runtime = 8.30a 緩和策 1. 既存のインストールにおいて、CodeMeter Control Centerが少なくとも1回再起動されている場合、追加の対策は不要です。 2. 新しいインストールでは、CodeMeter Version 8.30a以降のインストールを推奨します。 3. 旧バージョンのCodeMeterをインストールする必要がある場合、以下の3つの方法で問題を緩和できます: - 組み込み管理者アカウントではなく、管理者グループに所属する通常ユーザーアカウントを使用する。 - 現在のユーザーアカウントを使用してインストールした後、CodeMeter Control Centerを終了する。 - インストール後にセッションを終了する(ログオフまたはWindowsの再起動)。 その他の情報 通報者: Mateusz Giebliński 公開日: 2025-05-14T10:00:00.000Z