企業向け「ウイルスバスター」製品で攻撃事例を確認 ～最新パッチの適用を

トレンドマイクロのサポート情報

　トレンドマイクロ（株）は9月10日、企業向け「ウイルスバスター」製品でディレクトリトラバーサルの脆弱性（CVE-2019-9489）を悪用した攻撃事例が確認されたことを明らかにした。本脆弱性は、4月4日に公表されたもの。修正プログラムはすでに公開されており、同社は利用中のバージョンを確認するとともに、最新パッチの適用を呼び掛けている。

　同社によると、「ウイルスバスター コーポレートエディション」と「ウイルスバスタービジネス」の一部バージョンには、パスの検証処理の不備により本来アクセスできないはずのフォルダーへアクセスできてしまう、いわゆるディレクトリトラバーサルの脆弱性が存在し、第三者がサーバーの任意のファイルを変更できてしまう恐れがある。

　JVNの脆弱性レポートによると、本脆弱性の評価は“CVSS v3”の基本値で“7.5”、“CVSS v2”の基本値で“5.0”。問題への対策を実施するには、以下のパッチを適用する必要がある。

• ウイルスバスター コーポレートエディション XG Service Pack 1 Critical Patch (ビルド 5338)
• ウイルスバスター コーポレートエディション XG Patch 1 Critical Patch (ビルド 1933)
• ウイルスバスター コーポレートエディション 11.0 Service Pack 1 Critical Patch (ビルド 6598)
• ウイルスバスター ビジネスセキュリティ 10.0 用 Patch (ビルド 1531)
• ウイルスバスター ビジネスセキュリティ 9.5 用 Critical Patch (ビルド 1487)
• ウイルスバスター ビジネスセキュリティ 9.0 Service Pack 3 用 Critical Patch (ビルド 4394)