【CVE番号】
　CVE-2023-4863


【重要度】
　High


【対象製品/バージョン】
　FortiClientEMS
　　ver.7.2.0 ～ 7.2.1
　　ver.7.0.0 ～ 7.0.9
　　ver.6.4 全てのバージョン

　FortiClient Windows版
　　ver.7.2.0 ～ 7.2.1
　　ver.7.0.0 ～ 7.0.9
　　ver.6.4 全てのバージョン

　FortiClient Mac版
　　ver.7.2.0 ～ 7.2.4
　　ver.7.0 全てのバージョン
　　ver.6.4 全てのバージョン

　FortiClient Linux版
　　ver.7.2.0 ～ 7.2.4
　　ver.7.0 全てのバージョン
　　ver.6.4 全てのバージョン

　FortiSOAR
　　ver.7.4.0 ～ 7.4.1 セキュリティパッチ 2
　　ver.7.3.0 ～ 7.3.2 セキュリティパッチ 3
　　ver.7.2.0 ～ 7.2.2 セキュリティパッチ 8
　　ver.7.0 全てのバージョン
　　ver.6.4 全てのバージョン


【影響】
　Google Chrome 116.0.5845.187 より前のバージョンおよび libwebp 1.3.2 の libwebp における
　ヒープバッファオーバーフローにより、リモートの攻撃者が細工したHTMLページを介して境界外の
　メモリ書き込みを実行できる可能性があります。

　https://nvd.nist.gov/vuln/detail/CVE-2023-4863

　FortiClientおよびFortiClientEMSアプリケーションには、Chromeブラウザが組み込まれています。
　 (SAML 認証および管理コンソール アプリケーション用)。
　FortiSOARは、バックエンドでレポートをレンダリングするために Chrome を使用しています。

　Libwepb は、Chrome ブラウザに「.webp」画像をレンダリングするライブラリです。
　悪意のある画像が Chrome に表示されると (データ オーバーフローあり)、攻撃者によってプログラムの実行が
　変更される可能性があります。
　攻撃者は、さらなる損害を与えるために、Google Chromeサンドボックス環境を脱出する必要があります。


【対策】
　以下のバージョンへのアップグレードを実施してください。

　FortiClientEMS

　　ver.7.2.2 以降
　　ver.7.0.10 以降

　FortiClient Windows版
　　ver.7.2.2 以降
　　ver.7.0.10 以降

　FortiClient Mac版
　　ver.7.4.0 以降
　　ver.7.2.5 以降

　FortiClient Linux版
　　ver.7.4.0 以降
　　ver.7.2.5 以降

　FortiSOAR
　　ver.7.4.1 セキュリティパッチ 3 以降
　　ver.7.3.2 セキュリティパッチ 4 以降
　　ver.7.2.2 セキュリティパッチ 9 以降


本内容は2025年1月15日8:00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■CVE-2023-4863 - Heap overflow in Chrome/libwebp
https://www.fortiguard.com/psirt/FG-IR-23-381