JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月17日、トレンドマイクロが提供している個人向け「ウイルスバスター クラウド」や、企業向けの「Trend Micro Apex One」および「ウイルスバスター ビジネスセキュリティ」などのセキュリティ製品に複数の脆弱性が報告されていると伝えた。
これらの脆弱性を悪用されると、悪意を持った攻撃者によって標的のシステムにおいて情報漏洩や権限の昇格、管理者権限の取得などといった被害を受ける危険性がある。
- JVNVU#93109244: トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
- JVNVU#96643038: トレンドマイクロ製企業向けエンドポイントセキュリティ製品におけるリンク解釈に関する脆弱性
影響を受ける製品およびバージョンは次のとおり。
- ウイルスバスター クラウド バージョン17.7
- ウイルスバスター クラウド バージョン17.0
- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS
- ウイルスバスター ビジネスセキュリティ 10.0 SP1
- ウイルスバスター ビジネスセキュリティサービス 6.7
想定される影響は製品および脆弱性の種類によって異なるが、トレンドマイクロによれば、次のような影響を受ける可能性があるとのこと。
- 境界外読み取りの脆弱性による情報漏えい(ウイルスバスター クラウド バージョン17.7)
- 危険なメソッドが公開されている問題による情報漏えいおよび権限昇格(ウイルスバスター クラウド バージョン17.7および17.0)
- 該当する製品がインストールされたシステムにログインできるユーザにる管理者権限の取得(Trend Micro Apex Oneおよびウイルスバスター ビジネスセキュリティ、ウイルスバスター ビジネスセキュリティサービス 6.7)
トレンドマイクロからは、該当する脆弱性について次のセキュリティアドバイザリが公開されている。
- アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30702) · Trend Micro for Home
- アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30703) · Trend Micro for Home
- アラート/アドバイザリ:トレンドマイクロのエンドポイント製品におけるリンク解釈の脆弱性について | Trend Micro Business Support
-
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30702)
-
アラート/アドバイザリ:トレンドマイクロのエンドポイント製品におけるリンク解釈の脆弱性について
Windows 11 24H2へのアップグレードに対する保護ホールド解除
