「ウイルスバスター クラウド」にディレクトリジャンクションの取り扱い不備の脆弱性

トレンドマイクロ社のアドバイザリ

　脆弱性ポータルサイト「JVN」は9月2日、脆弱性レポート（JVNVU#94699053）を公表した。トレンドマイクロ社が提供するセキュリティソフト「ウイルスバスター クラウド」にディレクトリジャンクションの取り扱い不備（CVE-2021-36744）があるとして、注意を呼び掛けている。

　ジャンクションは、NTFSファイルシステムのリパースポイントを使って実装されたソフトリンク。ショートカットのように、他のフォルダー（ディレクトリ）へリダイレクト（転送）したい場合に用いられる。JVNによると、「ウイルスバスター クラウド」にはこのジャンクションの取り扱いに不備があり、第三者によって権限昇格され、サービス運用妨害（DoS）攻撃を受ける可能性があるという。

　影響を受けるバージョンは、以下の通り（月額版も含む）。Windows版にのみ影響する。

• ウイルスバスター クラウド v17.0
• ウイルスバスター クラウド v16.0
• ウイルスバスター クラウド v15.0

　トレンドマイクロによると8月24日現在、この脆弱性を利用した攻撃は確認されていないとのこと。同社は30日付けでサポートサイトでアドバイザリを公開し、修正プログラムの適用手順を案内している。また、現行版（v17.0）よりも古いバージョンを利用している場合は、現行版へのアップデートを検討するよう呼び掛けている。