ニュース
企業向け「ウイルスバスター」などにゼロデイ脆弱性 任意のコードを実行される恐れ
できるだけ早く最新バージョンへの更新を
2023年9月19日 15:42
トレンドマイクロ(株)は9月19日、同社の企業向けセキュリティ製品に脆弱性「CVE-2023-41179」が存在することを発表した。すでにこの脆弱性を悪用した攻撃が確認されており、同社はなるべく早く修正プログラムを適用することを呼びかけている。
同社によると、脆弱性が存在するのは以下の4製品。
- 「Trend Micro Apex One 2019」
- 「Trend Micro Apex One SaaS」
- 「ウイルスバスター ビジネスセキュリティ10.0 SP1」
- 「ウイルスバスター ビジネスセキュリティサービス」
これらの製品のアンインストール機能に存在する脆弱性「CVE-2023-41179」を悪用すると、任意のコードを実行できてしまうという。CVSS 3.0のベーススコアは9.1で、深刻度は「緊急」とされている。ただし、同社はこの攻撃を実行するには製品の管理コンソールにログインできることが前提で、あらかじめ管理コンソールの認証情報を摂取している必要があるとしている。
同社は脆弱性を修正した各製品の修正プログラムをリリース済み。具体的には以下のバージョンへのアップデートが必要だ。
| 製品 | 修正バージョン |
|---|---|
| Trend Micro Apex One 2019 | Service Pack 1 - Patch 1 (ビルド 12380) |
| Trend Micro Apex One SaaS | セキュリティエージェントのバージョン: 14.0.12637(2023年7月 メンテナンスで修正済み) |
| ウイルスバスター ビジネスセキュリティ10.0 SP1 | Patch 2495 |
| ウイルスバスター ビジネスセキュリティサービス | 7月31日のアップデートで修正済み |
また同社は、修正プログラムの適用が困難な環境向けに軽減策も発表している。詳しくは同社の製品別サポートページを参照してほしい。
