トレンドマイクロが法人向けに無償提供するツールに任意のコードが実行可能な脆弱性

「Trend Micro Anti-Threat Toolkit（ATTK）」

　脆弱性対策情報ポータルサイト“JVN”は11月11日、脆弱性レポート（JVNVU#91935870）を公開した。トレンドマイクロ（株）が法人向けに無償提供している「Trend Micro Anti-Threat Toolkit（ATTK）」にディレクトリトラバーサルの脆弱性が存在するとして注意を喚起している。

　「ATTK」は、トレンドマイクロ製品のユーザーがPCの不具合を相談してきた際、その解決のためにPCのシステム情報を収集したり、PCに不正プログラムと疑わしきファイルがないかチェックするために提供するツール。レポートによると、「ATTK」のv1.62.0.1218およびそれ以前のバージョンには、実行フォルダ配下に特定の不正なファイルを配置することで、任意のコードが実行可能な脆弱性が存在する（CVE-2019-9491）。

　本脆弱性の評価は“CVSS v3”の基本値で“7.5”、“CVSS v2”の基本値で“4.1”。トレンドマイクロ社は1.62.0.1223以降へのバージョンアップを推奨している。同ツールが組み込まれたソリューションもアップデートされている。