ニュース
ブラザーの複合機「PRIVIO MFC-J960DWN」にCSRF脆弱性、回避ツールの入手にはウェブフォームからの連絡が必要
2017年7月4日 16:47
ブラザー工業株式会社ののコードレス電話付きインクジェット複合機「MFC-J960DWN」に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在するとして、独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が脆弱性情報ポータル「JVN(Japan Vulnerability Notes)」で注意を喚起している。
脆弱性「CVE-2017-2244」は、悪意を持って細工されたウェブページにアクセスして、MFC-J960DWNのウェブ管理画面に誘導された場合に、細工されたリクエストにより、製品の設定変更など、意図しない操作が実行される可能性があるもの。共通脆弱性評価システムCVSS v3のスコアは4.3。
ブラザー工業では脆弱性を回避するためのツールを提供しているが、入手するには、問い合わせ用入力フォームに製品名である「MFCJ960」と氏名、電話番号、メールアドレスを入力して個別に連絡を受ける必要がある。
なお、ブラザー工業のウェブサイトで提供されている最新ファームウェアは、脆弱性の残る「ver. D」(2013年公開)のままとなっている。