JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月12日、「JVNVU#93434935: トレンドマイクロ製スマートホームスキャナー(Windows版)のインストーラにおけるDLL読み込みに関する脆弱性」において、トレンドマイクロが提供している「スマートホームスキャナー」に脆弱性が存在し、修正バージョンがリリースされたと伝えた。この脆弱性を悪用されると、攻撃者によって対象のシステム上で管理者権限で任意のコードを実行される危険性がある。
スマートホームスキャナーはトレンドマイクロが提供しているホームネットワーク向けのセキュリティ診断アプリで、家庭のネットワークに接続する機器にセキュリティ上のリスクが存在しないかを診断することができる。このアプリのWindows版において、インストーラ実行時に同一のディレクトリに存在する特定のDLLファイルを読み込んでしまう脆弱性が発見されたという。攻撃者が対象のディレクトリに悪意をもって加工されたDLLファイルを配置した場合、スマートホームスキャナーのインストール時にそのファイルが実行されてしまう。
この脆弱性に関する詳細は、トレンドマイクロによる次のセキュリティアドバイザリにまとめられている。
-
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2022-28339)
影響を受けるプロダクトは次のとおり。
- スマートホームスキャナー(Windows版)バージョン番号 5.3.1220およびそれ以前のインストーラ
この脆弱性はCVE-2022-28339として追跡されており、CVSS v3のベーススコアは7.3で深刻度「重要(Important)」に分類されている。
トレンドマイクロからは対策を施したアップデートが提供されており、最新のスマートホームスキャナーのインストーラをダウンロードして使用すればこの脆弱性の影響を回避できる。なお、この脆弱性の影響を受けるのはインストール時のみで、すでにインストール済みの製品は問題なく使用できるという。
