公開日:2020/11/24 最終更新日:2020/11/24
JVNVU#94694991
トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性
トレンドマイクロ株式会社製ウイルスバスター for Mac には、複数の脆弱性が存在します。
CVE-2020-25778, CVE-2020-25779, CVE-2020-27014 および CVE-2020-27015
- ウイルスバスター for Mac バージョン 9.0
- ウイルスバスター for Mac バージョン 10.0
- ウイルスバスター for Mac バージョン 10.0
トレンドマイクロ株式会社が提供するウイルスバスター for Mac には、次の複数の脆弱性が存在します。
- メモリ情報の漏えい (CWE-200) - CVE-2020-25778
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N 基本値: 6.0 - Web 脅威対策機能のブロック回避 - CVE-2020-25779
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:N 基本値: 3.2 - 情報漏えい (CWE-200) - CVE-2020-27013
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値: 4.4 - Web 脅威対策機能における Time-of-check Time-of-use (TOCTOU) 競合状態 (CWE-362) - CVE-2020-27014
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H 基本値: 8.2 - エラーメッセージによる情報漏えい (CWE-209) - CVE-2020-27015
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N 基本値: 6.0
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 管理者権限を取得した第三者によって、ユーザの情報を窃取されたり、改ざんされたりする - CVE-2020-25778
- IDN ホモグラフ攻撃に利用されている悪意のある Web サイトが、当該製品の Web 脅威対策機能の許可リストに登録される - CVE-2020-25779
- コマンド実行権限を持つ第三者によって、機微な情報を窃取されたり、改ざんされたりする - CVE-2020-27013
- 管理者権限を取得した第三者によって、カーネルパニックやシステムのクラッシュが引き起こされる - CVE-2020-27014
- 管理者権限を取得した第三者によって、カーネルポインタやデバッグメッセージを窃取される - CVE-2020-27015
アップグレードする
次のバージョンを使用している場合、開発者は最新版へのアップグレードを推奨しています。
- ウイルスバスター for Mac バージョン 9.0
- 9.0 系へのアップデートは提供されていません。開発者は最新バージョン (ウイルスバスター for Mac バージョン 11.0) へのアップグレードを推奨しています。
次のバージョンを使用している場合、開発者が提供する情報をもとにパッチを適用してください。
- ウイルスバスター for Mac バージョン 10.0
- パッチは自動的に配信・適用されるとのことです。バージョン 10.0.1803 以降は、本脆弱性に対応したパッチが適用されています。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-25778 |
|
CVE-2020-25779 |
|
|
CVE-2020-27013 |
|
|
CVE-2020-27014 |
|
|
CVE-2020-27015 |
|
| JVN iPedia |
|
