公開日:2021/04/20 最終更新日:2021/04/20

JVNVU#97680506
ウイルスバスター ビジネスセキュリティサービスにおける複数の脆弱性

概要

トレンドマイクロ株式会社が提供するウイルスバスター ビジネスセキュリティサービスには、複数の脆弱性が存在します。

影響を受けるシステム

  • ウイルスバスター ビジネスセキュリティサービス 6.7

詳細情報

トレンドマイクロ株式会社が提供するウイルスバスター ビジネスセキュリティサービスには、次の複数の脆弱性が存在します。

  • 不適切なハードリンクの処理 (CWE-59) - CVE-2020-24556, CVE-2020-24559
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外読み取り (CWE-125) - CVE-2020-24558
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H 基本値: 5.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者によって管理者権限を取得され、任意のコードを実行される - CVE-2020-24556, CVE-2020-24559
  • 第三者によって、当該製品の複数のプロセスをクラッシュさせられる - CVE-2020-24558

対策方法

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。

  • ウイルスバスター ビジネスセキュリティサービス
    • Windows 版エージェント 6.7.1374/14.2.1194
    • Mac 版エージェント 3.5.1396
開発者によると、2020年7月18日のメンテナンスで修正済みとのことです。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-24556
CVE-2020-24558
CVE-2020-24559
JVN iPedia