トレンドマイクロのセキュリティ対策製品「ウイルスバスター」シリーズで複数の脆弱性が報告され、情報処理推進機構とJPCERT コーディネーションセンターが5月25日、情報を公表した。トレンドマイクロはユーザーに対応を説明している。

脆弱性が存在するのは、個人向けのウイルスバスター クラウド 8および同10と、法人向けがウイルスバスター コーポレートエディション 11.0およびビジネスセキュリティ 9.0、ウイルスバスター ビジネスセキュリティサービス 5.x。脆弱性は製品によって異なる。

ウイルスバスター クラウドの脆弱性は、アクセス制限不備と任意のスクリプト実行の2件があり、悪用された場合に遠隔の第三者が端末内のファイルにアクセスしたり、任意のスクリプトを実行したりする可能性がある。なお、デフォルトの設定では外部ネットワークから脆弱性を使用した攻撃は実行できないという。トレンドマイクロは該当製品の修正モジュールを公開しており、ユーザーへ適用を呼び掛けている。

個人向け製品での告知

一方、法人向け3製品ではパストラバーサルとHTTPヘッダインジェクションの2件の脆弱性が報告され、第三者によって端末内のファイルを取得されたり、Webブラウザ上で任意のスクリプトを実行されたりする恐れがある。ただし、攻撃を実行するには標的のLAN環境にアクセスする必要があり、トレンドマイクロでは影響度を「低」と分析している。

ビジネスセキュリティサービス 5.xでは脆弱性を修正済みで、ユーザーは最新版にアップデートすることで対策できる。コーポレートエディションとビジネスセキュリティでは2016年6月末にリリースされるCritical PatchとService Pack 3で修正される見通し。コーポレートエディションに関しては修正モジュールでも対応するが、個別になることからサポートセンターへの問い合わせが必要になるという。

法人向け製品での告知

Copyright © ITmedia, Inc. All Rights Reserved.