トレンドマイクロのWindows版パスワードマネージャーにDLLハイジャックの脆弱性

トレンドマイクロのサポートページ

　脆弱性ポータルサイト“JVN”は4月19日、トレンドマイクロ製「パスワードマネージャー」のDLLを読み込む処理に脆弱性（CVE-2021-28647）が存在すると公表した。検索パスに問題があり、同一フォルダーに存在する偽のDLLを読み込んでしまう可能性があるという。最悪の場合、セットアップ中にインストーラーを実行している権限で任意のプログラムを実行されてしまう。

　“JVN”の脆弱性レポート（JVNVU#98074915）によると、本脆弱性の影響を受けるのはWindows版「パスワードマネージャー」のv5.0.0.1217より前のv5.xバージョン。深刻度は“CVSS v3”の基本値で“7.8”と評価されている。

　トレンドマイクロ社によると、本脆弱性は昨年12月にリサーチャーから指摘。今年1月28日に修正版をリリースし、翌月5日には全ユーザーにパッチを配信しているという。現在のところ、脆弱性を悪用した攻撃は確認されていない。また、Windows版以外の「パスワードマネージャー」（Mac/iOS/Android）や「ウイルスバスター クラウド」などの同社製品には影響しないという。