IPA/「ウイルスバスター クラウド」に実装された Active Update 機能における複数の脆弱性】

2020年9月30日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2020年9月23日に「『ウイルスバスター クラウド』に実装された Active Update 機能における複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要
・トレンドマイクロ株式会社が提供する「ウイルスバスター クラウド」は、セキュリティ対策ソフトウェアです。

・「ウイルスバスター クラウド」に実装された Active Update 機能には、次の複数の脆弱性が存在します。
▽ アップデートファイルの検証不備 - CVE-2020-15604
▽ アップデートサーバとの間の通信におけるサーバ証明書の検証不備
- CVE-2020-24560

・細工されたアップデートファイルをダウンロードすることで、SYSTEM 権限で任意のコードを実行される可能性があります。

・開発者が提供する情報をもとに、該当する製品を最新版へアップデートしてください。
◆この脆弱性情報は、2019年8月22日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
・「ウイルスバスター クラウド」に実装された Active Update 機能における複数の脆弱性

※もしくは、https://jvn.jp/jp/ から「JVN#60093979」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。