「ウイルスバスター クラウド」に複数の脆弱性 ～JVNが注意喚起

JVNの脆弱性レポート（JVNVU#96882769）

　脆弱性ポータルサイト「JVN」は3月1日、トレンドマイクロ社製のセキュリティソフト「ウイルスバスター クラウド」（Windows版）に関する脆弱性レポート（JVNVU#96882769）を公開した。複数の脆弱性が発見されたとして、注意を喚起している。

　脆弱性の内容は、以下の通り（括弧内はCVSS 3.0のスコア）。v17.7に影響し、任意のファイル削除や権限昇格につながる可能性がある。

• CVE-2022-30687：データ消去ツールを悪用した攻撃者により任意のファイルが消去される（6.1）
• CVE-2022-34893：ファイルアクセス前の不適切なリンク解決を利用した特権昇格（7.8）
• CVE-2022-48191：Time-of-check Time-of-use（TOCTOU）競合状態の脆弱性による権限昇格（7.2）

　加えて、v17.0/v17.7に影響する脆弱性として、以下が案内されている。

• CVE-2022-35234/CVE-2022-37347/CVE-2022-37348：領域外メモリの参照による情報漏洩（4.4）

　トレンドマイクロ社によると、これらの脆弱性を利用した攻撃は確認されていない。修正は自動配信されるとのことで、同社は常に最新版を利用するよう呼び掛けている。