トレンドマイクロのWindows版パスワードマネージャーにDLLハイジャックの脆弱性

トレンドマイクロのサポートページ

　脆弱性ポータルサイト“JVN”は4月6日、トレンドマイクロ製「パスワードマネージャー」のDLLを読み込む処理に脆弱性（CVE-2020-8469）が存在すると公表した。検索パスに問題があり、同一フォルダーに存在する偽のDLLを読み込んでしまう可能性があるという。最悪の場合、権限の昇格と任意コードが実行される可能性がある。

　“JVN”の脆弱性レポート（JVNVU#93266623）によると、本脆弱性の影響を受けるのはWindows版「パスワードマネージャー」のv5.0.0.1092より前のv5.xバージョン。深刻度は“CVSS v3”の基本値で“7.3”、“CVSS v2”の基本値で“6.0”と評価されている。

　トレンドマイクロ社によると、本脆弱性は昨年12月にリサーチャーから指摘。今年3月4日に修正版をリリースし、12日には全ユーザーにパッチを配信しているという。現在のところ、脆弱性を悪用した攻撃は確認されていない。また、Windows版以外の「パスワードマネージャー」（Mac/iOS/Android）や「ウイルスバスター クラウド」などの同社製品には影響しないという。