ニュース
旧版「ウイルスバスター クラウド」のインストーラーに権限昇格の脆弱性が複数 ~JVNが注意喚起
v16は修正版のインストーラーが利用可能。v15は最新版への更新を
2021年2月1日 13:01
脆弱性ポータルサイト“JVN”は2月1日、トレンドマイクロ社が提供するセキュリティソフト「ウイルスバスター クラウド」のインストーラーに複数の脆弱性が存在すると発表した。
JVNが公開した脆弱性レポート(JVN#99814910)によると、「ウイルスバスター クラウド」のインストーラーには以下の欠陥がある。深刻度の評価は、“CVSS 3.0”の基本値で最大“6.3”。第三者によって管理者権限を取得され、任意のコードを実行される可能性があるが、トレンドマイクロ社によると現在のところ悪用の報告はない。
- CVE-2020-27695:DLL 読み込み時の検索パスの不適切な処理に起因した権限昇格
- CVE-2020-27696:特定のWindowsシステムディレクトリにインストーラーを配置することによる権限昇格
- CVE-2020-27697:シンボリックリンクを悪用した権限昇格
影響する製品は、Windows版「ウイルスバスター クラウド」のv15/v16。v16には脆弱性を修正したインストーラー(v16.0.1409)が提供されているが、v15にはないので注意したい。トレンドマイクロ社は最新版(v17.0)へのアップグレードを推奨している。
一般的に、アプリを新規にインストールする場合はローカルに保存された古いインストーラーを使いまわしたりせず、信用のおける入手先から最新のインストーラーを入手して利用するべきだ。また、セットアップの際はインストーラーと同じフォルダーに見知らぬファイルが存在しないか確認することも怠らないようにしたい。