複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性 | ScanNetSecurity
2024.04.25(木)

複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月29日、複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性について発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月29日、複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性について発表した。影響を受けるシステムは以下の通り。

・CVE-2021-32464
 Apex One 2019
 Apex One SaaS
 ウイルスバスタービジネスセキュリティサービス 6.7

・CVE-2021-32465
 Apex One 2019
 Apex One SaaS
 ウイルスバスターコーポレートエディション XG SP1

・CVE-2021-36741、CVE-2021-36742
 Apex One 2019
 Apex One SaaS
 ウイルスバスターコーポレートエディション XG SP1
 ウイルスバスタービジネスセキュリティ 10 SP1

 トレンドマイクロ株式会社が提供する複数の企業向けエンドポイントセキュリティ製品には、次の複数の脆弱性が存在し、開発者によると、CVE-2021-36741及びCVE-2021-36742は、本脆弱性を悪用した攻撃が確認されているとのこと。

不適切なパーミッションの割り当て(CVE-2021-32464)
パーミッションの不適切な保持(CVE-2021-32465)
不適切な入力確認(CVE-2021-36741)
不適切な入力確認(CVE-2021-36742)

 想定される影響は各脆弱性により異なるが、次のような影響を受ける可能性がある。

当該製品が稼働しているOSにログイン可能な第三者によってSYSTEM権限を取得され特定のスクリプトを改ざんされる(CVE-2021-32464)
当該製品が稼働しているOSにログイン可能な遠隔の第三者によって認証を回避される(CVE-2021-32465)
当該製品にログイン可能な遠隔の第三者によって任意のファイルをアップロードされる(CVE-2021-36741)
当該製品が稼働しているOSにログイン可能な第三者によってSYSTEM権限を取得される(CVE-2021-36742)

 JVNでは本脆弱性の対策としてリリースされた次のパッチを適用するよう注意を呼びかけている。なお、Apex One SaaSは7月21日のメンテナンスで修正済みとのこと。

Apex One 2019 Patch 5 B9565
(CVE-2021-36741, CVE-2021-36742にのみ対応、CVE-2021-32464, CVE-2021-32465に対応するパッチは、8月初旬リリース予定)
ウイルスバスターコーポレートエディション XG SP1 CriticalPatch B6058
ウイルスバスタービジネスセキュリティ 10 SP1 Patch B2329
ウイルスバスタービジネスセキュリティサービス 6.7.1538 / 14.2.1295 以降

 または当該製品へのアクセスを信頼できるネットワークからのみに制限することで、本脆弱性の影響の軽減が可能となる。

《ScanNetSecurity》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  5. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  6. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  7. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  8. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  9. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

  10. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP