「ウイルスバスター」に複数の脆弱性、個人向け、法人向けともに影響（JVN）

IPAおよびJPCERT/CCは、トレンドマイクロが提供するセキュリティ対策ソフト「ウイルスバスター」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2016.5.26 Thu 9:54

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は5月25日、トレンドマイクロ株式会社が提供するセキュリティ対策ソフト「ウイルスバスター」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは6.1。

「ウイルスバスタークラウド 8および10」には、アクセス制限不備（CVE-2016-1225）、任意のスクリプト実行（CVE-2016-1226）の脆弱性が存在する。また「ウイルスバスターコーポレートエディション 11.0」にはディレクトリトラバーサル（CVE-2016-1223）、「ウイルスバスタービジネスセキュリティ 9.0」」および「ウイルスバスタービジネスセキュリティサービス 5.x」にはディレクトリトラバーサル（CVE-2016-1223）、HTTPヘッダインジェクション（CVE-2016-1224）の脆弱性が存在する。

これらの脆弱性が悪用されると、リモートの第三者によって端末内のファイルにアクセスされる（CVE-2016-1225）、当該製品上で任意のスクリプトを実行される（CVE-2016-1226）、ユーザのLAN環境にアクセス可能な第三者によって、端末内のファイルを取得される（CVE-2016-1223）、ユーザのWebブラウザ上で任意のスクリプトを実行される（CVE-2016-1224）といった可能性がある。JVNでは、修正モジュールの適用を呼びかけている。なお、ビジネスセキュリティでは6月末に提供予定のService Pack 3で脆弱性の影響を受けなくなるとしている。

《吉澤亨史（ Kouji Yoshizawa ）》