「Deep Security」「TMVP」にXXEの脆弱性、アップデートを呼びかけ（トレンドマイクロ、JVN）

トレンドマイクロは、同製品に対する2件のアラート/アドバイザリを公開した。

脆弱性と脅威セキュリティホール・脆弱性

2019.10.28 Mon 8:05

トレンドマイクロ株式会社は10月1日および11日、同社製品に対する2件のアラート/アドバイザリを公開した。独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）もこれを受け、10月25日に「トレンドマイクロ株式会社製の複数の製品における XML 外部実体参照（XXE）に関する脆弱性」を「Japan Vulnerability Notes（JVN）」で発表している。

1件目は、「Trend Micro Deep Securityにおける XML External Entityに関する脆弱性（CVE-2019-9488）」で、12.0未満のバージョンの「Deep Security Manager」にXML External Entityの脆弱性が存在する。Deep Security Managerに有効化されている Deep Security Agentについて、管理者権限が悪意のあるユーザに奪取された場合に、そのDeep Security Agentから XXE攻撃を受ける可能性がある。

2件目は。「Trend Micro Virtual Patch for Endpoint（TMVP）における XML External Entityに関する脆弱性（CVE-2019-9488）」で、2.0 SP2 Patch7 以下の「TMVP Manager」にXML External Entityの脆弱性が存在する。TMVP Managerに有効化されている TMVP Agentについて、管理者権限が悪意のあるユーザに奪取された場合に、そのTMVP Agentから XXE攻撃を受ける可能性がある。

トレンドマイクロでは、これらの脆弱性についてアップデートリリースで修正しており、パッチをインストールするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》