ニュース
トレンドマイクロのWindows版パスワードマネージャーにDLLハイジャックの脆弱性
修正版はすべてのユーザーに配布済み
2021年4月20日 09:39
脆弱性ポータルサイト“JVN”は4月19日、トレンドマイクロ製「パスワードマネージャー」のDLLを読み込む処理に脆弱性(CVE-2021-28647)が存在すると公表した。検索パスに問題があり、同一フォルダーに存在する偽のDLLを読み込んでしまう可能性があるという。最悪の場合、セットアップ中にインストーラーを実行している権限で任意のプログラムを実行されてしまう。
“JVN”の脆弱性レポート(JVNVU#98074915)によると、本脆弱性の影響を受けるのはWindows版「パスワードマネージャー」のv5.0.0.1217より前のv5.xバージョン。深刻度は“CVSS v3”の基本値で“7.8”と評価されている。
トレンドマイクロ社によると、本脆弱性は昨年12月にリサーチャーから指摘。今年1月28日に修正版をリリースし、翌月5日には全ユーザーにパッチを配信しているという。現在のところ、脆弱性を悪用した攻撃は確認されていない。また、Windows版以外の「パスワードマネージャー」(Mac/iOS/Android)や「ウイルスバスター クラウド」などの同社製品には影響しないという。