ニュース
セキュリティソフト「ESET」シリーズに複数の脆弱性 ~モジュールの更新で対策【10月27日追記】
サポート終了の旧製品は後継バージョンへの移行を
2022年10月26日 15:00
[2022年10月27日編集部追記]本記事は、2022年10月26日付で公開されたキヤノンITソリューションズのサポートページに基づいて執筆されましたが、同社よりこの公開日は誤りで、正しくは5月10日に初公開されたものが一時的に10月26日付になっていたものだという報告がありました。
キヤノンITソリューションズ(株)は10月26日、セキュリティソフト「ESET」シリーズに複数の脆弱性があることを明らかにした。内容は以下の通り(括弧内は「CVSS v3」の基本値)。
- CVE-2021-37851:権限昇格。インストーラーの修復機能を悪用して、より高い権限で悪意のあるコードを実行できる(7.8)
- CVE-2022-27167:権限昇格。[修復]および[削除](アンインストール)オプションを悪用すると、任意のファイルが削除できてしまう(7.1)
影響範囲は「ESET スマート セキュリティ プレミアム」、「ESET インターネット セキュリティ」(まるごと安心パックを含む)、「ESET NOD32 アンチウイルス」の以下のバージョン。
- V11:11.2.49.0 / 11.2.63.0
- V12:12.0.31.0 / 12.1.31.0 / 12.1.34.0 / 12.2.23.0 / 12.2.30.0
- V13:13.0.24.0 / 13.1.16.0 / 13.1.21.0 / 13.2.18.0
- V14:V14.0.22.0 / V14.2.10.0 / V14.2.19.0 / V14.2.24.0
- V15:V15.0.16.0 / V15.0.18.0 / V15.0.21.0 / V15.0.23.0
これらの脆弱性は「ウイルス・スパイウェア対策検査機能」というモジュールのアップデートにより解決されているとのこと。バージョンが「1587」以降になっていることを確認してほしい。
ただし、v11からv13はすでにサポートを終了しており、修正パッチは提供されないとのこと。後継バージョンへの移行が必要だ。