JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月25日、「JVNVU#92842857: トレンドマイクロ製企業向けエンドポイントセキュリティ製品における権限昇格の脆弱性」において、トレンドマイクロが提供している企業向けのエンドポイントセキュリティ製品に権限昇格の脆弱性が発見され、同社がセキュリティアップデートを公開したと伝えた。この脆弱性を悪用されると、サービス運用妨害(DoS)攻撃を受ける可能性があるという。
該当する脆弱性に関する情報は次のセキュリティアドバイザリにまとめられている。
-
アラート/アドバイザリ:トレンドマイクロのエンドポイント向け製品の権限昇格による任意ファイル作成の脆弱性について
この脆弱性を悪用されると、第三者によって権限が昇格され、影響を受けたシステム上で任意のファイルを作成される可能性がある。その結果、サービス拒否状態を引き起こされる危険性があるという。
影響を受ける製品およびバージョンは以下のとおりとなっている。
- Apex One 2019
- Apex One SaaS
- ウイルスバスター Corp. XG CP
- ウイルスバスタービジネスセキュリティ 10.0 SP1
- ウイルスバスタービジネスセキュリティサービス
Apex One 2019、ウイルスバスター Corp.、ウイルスバスタービジネスセキュリティは、トレンドマイクロよりリリースされている修正パッチを適用することで影響を回避することができる。クラウドサービスであるApex One SaaSとウイルスバスタービジネスセキュリティサービスは、9月のアップデートで修正済みとのことだ。
