SaaS版を含む「Trend Micro Apex One」に複数の脆弱性 | ScanNetSecurity
2022.11.28(月)

SaaS版を含む「Trend Micro Apex One」に複数の脆弱性

IPAおよびJPCERT/CCは、トレンドマイクロが「Trend Micro Apex One」および「Trend Micro Apex One SaaS」に対するアップデートを公開したことを受け、「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月18日、トレンドマイクロ株式会社が「Trend Micro Apex One」および「Trend Micro Apex One SaaS」に対するアップデートを公開したことを受け、「Japan Vulnerability Notes(JVN)」で発表した。

 影響を受けるシステムは以下の通り。

・Trend Micro Apex One 2019
・Trend Micro Apex One SaaS

 想定される影響は各脆弱性により異なるが、次のような影響を受ける可能性がある。詳細については開発者が提供するアドバイザリを参照のこと。

・境界外読み取りの脆弱性による情報漏えい
・不正変更防止サービスにおける領域外メモリアクセスの脆弱性による権限昇格
・不正変更防止サービスにおけるメモリ破壊の脆弱性による権限昇格
・セキュリティエージェントにおけるTime-of-check Time-of-use(TOCTOU)競合状態の脆弱性による権限昇格
・例外条件の不適切な処理の脆弱性による権限昇格
・セキュリティエージェントにおけるディレクトリトラバーサルの脆弱性による権限昇格
・一部のモジュールにおけるSAFESEHメモリ保護メカニズムの適用不足

 JVNでは、Trend Micro Apex One 2019については開発者が提供する情報をもとに、最新バージョンにアップデートするよう呼びかけている。また、当該製品へのアクセスを、信頼できるネットワークからのみに制限することで、本脆弱性の影響を軽減できるとしている。なお、SaaS版は修正済みとなっている。

《吉澤 亨史( Kouji Yoshizawa )》

特集

PageTop

アクセスランキング

  1. 埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

    埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

  2. 「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

    「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

  3. 田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

    田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

  4. サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)

    サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)PR

  5. 契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

    契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

  6. 庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

    庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

  7. 水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

    水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

  8. 8大詐欺ワードとは、VISAグローバル調査

    8大詐欺ワードとは、VISAグローバル調査

  9. 創価大学の教員のメールアカウントが迷惑メール送信の踏み台に、SMTP認証を悪用した攻撃と推測

    創価大学の教員のメールアカウントが迷惑メール送信の踏み台に、SMTP認証を悪用した攻撃と推測

  10. 秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

    秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

ランキングをもっと見る