法人向けセキュリティ製品「ウイルスバスターコーポレートエディション XG SP1」に脆弱性

トレンドマイクロのサポートページ

　トレンドマイクロ（株）は9月2日、同社の法人向けセキュリティ製品「ウイルスバスターコーポレートエディション XG SP1」にハードリンクを利用した権限昇格の脆弱性（CVE-2020-24556）が存在することを明らかにした。

　本脆弱性は、攻撃者によってシステム上の任意のファイルへのハードリンクが作成できてしまうというもの。攻撃者はまず低い権限でいいので対象のシステムを操作する権限を得る必要があるが、それが成功してしまえば最悪の場合、特権昇格やコードの実行が可能になる恐れがある。同社による深刻度の評価は“中”。

　この問題は「Windows 10 バージョン 1909」（OS ビルド 18363.719）以降であれば緩和されており、それほど危険ではないが、それより古いOSでは警戒が必要だ。同社は“Patch3 build 5684”の適用を推奨している。

　なお、本脆弱性は「Apex One」「Apex One SaaS」にも影響するとのこと。これらの製品には本件を含み4つの脆弱性が確認されている。「Apex One SaaS」に関しては8月のメンテナンスで解決済みだが、「Apex One」（Windows/Mac）ではパッチの適用が必要となるので注意したい。