ニュース
トレンドマイクロのWindows版パスワードマネージャーにDLLハイジャックの脆弱性
修正版は先月に公開、配布済み
2020年4月6日 13:34
脆弱性ポータルサイト“JVN”は4月6日、トレンドマイクロ製「パスワードマネージャー」のDLLを読み込む処理に脆弱性(CVE-2020-8469)が存在すると公表した。検索パスに問題があり、同一フォルダーに存在する偽のDLLを読み込んでしまう可能性があるという。最悪の場合、権限の昇格と任意コードが実行される可能性がある。
“JVN”の脆弱性レポート(JVNVU#93266623)によると、本脆弱性の影響を受けるのはWindows版「パスワードマネージャー」のv5.0.0.1092より前のv5.xバージョン。深刻度は“CVSS v3”の基本値で“7.3”、“CVSS v2”の基本値で“6.0”と評価されている。
トレンドマイクロ社によると、本脆弱性は昨年12月にリサーチャーから指摘。今年3月4日に修正版をリリースし、12日には全ユーザーにパッチを配信しているという。現在のところ、脆弱性を悪用した攻撃は確認されていない。また、Windows版以外の「パスワードマネージャー」(Mac/iOS/Android)や「ウイルスバスター クラウド」などの同社製品には影響しないという。