HPは9月6日(米国時間)、「Privilege escalation in HP Support Assistant|HP® Customer Support」において、同社の管理ソフトウェア「HP Support Assistant」に脆弱性があると伝えた。同社のデスクトップPCやノートPCに標準でインストールされているHP Support Assistantに、特権昇格の脆弱性があるとされており注意が必要。

  • Privilege escalation in HP Support Assistant|HP® Customer Support

    Privilege escalation in HP Support Assistant|HP® Customer Support

HP Support Assistantは、HP Performance Tune-upを診断ツールとして使用しており、このソフトウェア起動するためにFusionを使用する。FusionがHP Performance Tune-upを起動する際に、攻撃者がDLLハイジャックの脆弱性を悪用して特権を昇格させる可能性があるという。

この欠陥は「CVE-2022-38395」として追跡されており、脆弱性の深刻度はCVSSv3スコア値8.2でHigh(重要)と位置づけられている。

脆弱性を受けるソフトウェアとバージョンは次のとおり。

  • HP Support Assistant 9.11より前のバージョン
  • Fusion 1.38.2601.0より前のバージョン

HPは、HP Support Assistantのすべてのセキュリティ問題に可能な限り迅速に対応しているとし、同ソフトウェアの設定で自動更新を有効にすることで上記の問題の修正を含む最新バージョンに更新することができると伝えている。

HP Support Assistant 8.xを使用している場合は、最新版のHP Support Assistant 9.xにアップグレードされているかの確認を、また、HP Support Assistantバージョン9.xを使用している場合はアプリケーションを常に最新の状態に保つためにMicrosof Storeの更新をオンにしておくようアドバイスしている。