ウイルスバスタークラウド（Windows版）のActive Update機能に複数の脆弱性（JVN）

脆弱性と脅威セキュリティホール・脆弱性

24 views

2020.9.25 Fri 8:05

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は9月23日、ウイルスバスタークラウド（Windows版）に実装されたActive Update機能における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。株式会社イエラエセキュリティ三村聡志氏が報告を行った。影響を受けるシステムは以下の通り。

ウイルスバスタークラウド（Windows版）バージョン15 およびそれ以前

JVNによると、トレンドマイクロ株式会社が提供するウイルスバスタークラウド（Windows版）に実装されたActive Update機能には、アップデートファイルの検証不備（CVE-2020-15604）の脆弱性とアップデートサーバとの間の通信におけるサーバ証明書の検証不備（CVE-2020-24560）の脆弱性が存在し、CVE-2020-15604 および CVE-2020-24560の CVSS評価では、無線LANのアクセスポイントを設置した第三者によって中間者攻撃（man-in-the-middle attack）が行われることを想定している。

想定される影響としては、細工されたアップデートファイルをダウンロードすることで、SYSTEM権限で任意のコードを実行される可能性がある。

JVNでは開発者が提供する情報をもとに、該当する製品を最新版にアップデートするよう呼びかけている。また、開発者によるとウイルスバスタークラウド（Windows版）のバージョン16以降では本脆弱性の対策が行われているとのこと。

《ScanNetSecurity》