ニュース

「ウイルスバスター クラウド」にコードインジェクションの脆弱性 ~JVNが注意喚起

v16.0およびv17.0に影響。バージョンの確認を

JVNが公開した脆弱性レポート(JVN#99545969)

 脆弱性ポータルサイト“JVN”は3月5日、トレンドマイクロ社が提供するセキュリティソフト「ウイルスバスター クラウド」で発見されたコードインジェクションの脆弱性(CVE-2021-25251)に関する脆弱性レポート(JVN#99545969)を公表した。

 JVNによると、「ウイルスバスター クラウド」には外部からの入力やパラメーターの変更で想定外の動作を引き起こすコードインジェクション攻撃が可能なセキュリティ欠陥が存在する。最悪の場合、管理者権限を取得した第三者によって任意のコードを実行され、プログラムのパスワード保護やシステムの保護を無効にされる可能性があるという。脆弱性の評価は、CVSS v3の基本値で“8.2”。

 本脆弱性の影響範囲は、Windows版の「ウイルスバスター クラウド」v16.0およびv17.0.トレンドマイクロ社によると、問題は2月に修正されており、修正プログラムを配信済み。悪用した攻撃も確認されていないという。

 修正プログラムは自動で配信・適用されるが、下記のバージョンになっていない場合は、手動でアップデートを実施する必要がある。

  • v17.0系統:バージョン 17.0.1222以降
  • v16.0系統:バージョン 16.0.1413以降