セキュリティソフト「ESET」のSSL/TLSプロトコルのスキャン機能に脆弱性

同社のアナウンス

　キヤノンITソリューションズ（株）は12月21日、セキュリティソフト「ESET」シリーズのWindows向けクライアント用プログラムに脆弱性（CVE-2023-5594）があることを明らかにした。

　開発元のESETによると、同社製品に搭載されているSSL/TLSプロトコルのスキャン機能にはサーバーの証明書チェーンの検証処理に不備があり、MD5やSHA1といった信頼すべきでない旧式のアルゴリズムで署名された中間証明書を持つWebサイトをWebブラウザーが信頼してしまうことがあるという。

　「CVSS v3.1」のベーススコアは「7.5」（High）。悪用の事例はまだ確認されていないようだ。脆弱性の対象となるプログラムは、以下の通り。

• ESET Security Ultimate
• ESET Smart Security Premium
• ESET Internet Security
• ESET NOD32アンチウイルス

　「ESET HOME セキュリティ」などの個人向け製品に加え、「ESET オフィス セキュリティ」などの法人向け製品などが対象に含まれる。「ESET インターネット セキュリティ」や「ESET スマート セキュリティ プレミアム」といった旧製品にも影響するとのこと。

　本脆弱性の修正プログラムはすでに用意されており、「インターネットプロテクションモジュール1464」が自動配布されているとのこと（個人向け製品の場合で11月27日から）。自動更新機能が有効であれば、ユーザー側での操作は不要だ。