ニュース

「ウイルスバスター クラウド」に脆弱性 ~v16/v17へ移行の上、最新版への更新を

アップデート機能“Active Update”にファイル検証の不備やサーバー証明書の検証不備

トレンドマイクロのサポートページ

 トレンドマイクロ(株)は9月16日、セキュリティソフト「ウイルスバスター クラウド」に複数の脆弱性が存在することを明らかにした。

 脆弱性ポータルサイト“JVN”が23日に公開したレポート(JVN#60093979)によると、Windows版「ウイルスバスター クラウド」に実装されているアップデート機能“Active Update”にはアップデートファイルの検証不備(CVE-2020-15604)やサーバ証明書の検証不備(CVE-2020-24560)の脆弱性が存在する。何らかの方法で細工されたアップデートファイルを受信すると、それがそのままインストールされ、システム権限で任意のコードを実行される可能性がある。

 “JVN”によると、脆弱性の深刻度評価(CVSS v3の基本値)は“CVE-2020-15604”“CVE-2020-24560”ともに“5.9”。トレンドマイクロ側は“3.7”としている。同社によると、一般的な利用環境においてはインターネット経由で直接攻撃を受けることはない。16日現在、本脆弱性を利用した攻撃も確認されていない。

 影響を受けるバージョンは「ウイルスバスター クラウド」(月額版含む)v15およびそれ以前のバージョン。v16とv17ではすでに修正が施されているおり、新しいバージョンへのアップデートが推奨されている。

  • v16:16日現在で最新のv16.0.1405で対策済み
  • v17:16日現在で最新のv17.0.1150で対策済み

 バージョンナンバーの確認方法は同社のヘルプページで案内されているので、そちらを参照のこと。