SecurityInsight | セキュリティインサイト

JPCERT/CCとIPA、トレンドマイクロ「ウイルスバスター for Mac」に複数の脆弱性があるとして注意喚起

JPCERTコーディネーションセンターと情報処理推進機構(IPA)は11月24日、トレンドマイクロ「ウイルスバスター for Mac」に複数の脆弱性が存在するとして注意喚起を行なった。

■影響を受けるシステム
CVE-2020-25778, CVE-2020-25779, CVE-2020-27014 および CVE-2020-27015
・ウイルスバスター for Mac バージョン 9.0
・ウイルスバスター for Mac バージョン 10.0

CVE-2020-27013
・ウイルスバスター for Mac バージョン 10.0

■詳細情報
・メモリ情報の漏えい - CVE-2020-25778
・Web脅威対策機能のブロック回避 - CVE-2020-25779
・情報漏えい - CVE-2020-27013
・Web脅威対策機能における Time-of-check Time-of-use競合状態- CVE-2020-27014
・エラーメッセージによる情報漏えい- CVE-2020-27015

■想定される影響
・管理者権限を取得した第三者によってユーザーの情報を窃取されたり、改ざんされたりする - CVE-2020-25778
・IDNホモグラフ攻撃に利用されている悪意のあるWebサイトが、当該製品のWeb脅威対策機能の許可リストに登録される - CVE-2020-25779
・コマンド実行権限を持つ第三者によって、機微な情報を窃取されたり、改ざんされたりする - CVE-2020-27013
・管理者権限を取得した第三者によって、カーネルパニックやシステムのクラッシュが引き起こされる - CVE-2020-27014
・管理者権限を取得した第三者によって、カーネルポインターやデバッグメッセージを窃取される - CVE-2020-27015

■対策方法
○アップグレードする
次のバージョンを使用している場合、開発者は最新版へのアップグレードを推奨している。
・ウイルスバスター for Mac バージョン 9.0
 ※9.0系へのアップデートは提供されていない。開発者は最新バージョン(11.0)へのアップグレードを推奨。

○パッチを適用する
次のバージョンを使用している場合、開発者が提供する情報をもとにパッチを適用。
・ウイルスバスター for Mac バージョン 10.0
 ※パッチは自動的に配信・適用される。バージョン10.0.1803以降は、この脆弱性に対応したパッチが適用されている。

 

関連リンク

JVN