「ウイルスバスター」の「Airサポート」に概念実証コード公開済みの脆弱性

JVNの脆弱性レポート（JVNVU#99844997）

　脆弱性ポータルサイト「JVN」は2月2日、トレンドマイクロ社製の「Airサポート」に関する脆弱性レポート（JVNVU#99844997）を公開した。

　それによると、「ウイルスバスター クラウド+ デジタルライフサポート プレミアム」に含まれるサポートツール「Airサポート」v6.0.2092およびそれ以前には、特権昇格の脆弱性「CVE-2024-23940」が存在する。悪用されると、標準ユーザーのアカウントによって特権昇格が行われ、任意のプログラムが実行される可能性があるという。CVSS 4.0による深刻度は「9.4」と非常に危険度が高い。

　トレンドマイクロ社によると、「CVE-2024-23940」が悪用された形跡はないとのことだが、すでに概念実証コードが公開されており、攻撃に利用される恐れは高い。トレンドマイクロ社は1月26日に修正バージョンのv6.0.2103を配信しており、自動で適用されるとしているが、念のためv6.0.2103以降に更新されているか確認しておくことをお勧めする。

　なお、「CVE-2024-23940」の発見者によると、同様の脆弱性が他のセキュリティソフトでも発見されているという。すでに開発元には報告済みで、一部ではパッチを開発中。今後の動向を注視したい。