JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は10月6日(日本時間)、「JVNVU#95014999: トレンドマイクロ株式会社製ウイルスバスター for Mac に権限昇格の脆弱性」において、トレンドマイクロのMac向けウイルス対策製品「ウイルスバスター for Mac」に権限昇格の脆弱性が存在し、同社が修正版をリリースしたことを伝えた。

この脆弱性を悪用されると、悪意をもった第三者によって不正なシンボリックリンクが作成され、その結果として任意のファイルやフォルダを削除される危険性があるという。対象の脆弱性に関する情報は、開発元が提供する次のセキュリティアドバイザリにまとめられている。

  • アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25776)

    アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25776)

影響を受けるプロダクトおよびバージョンは次のとおり。

  • ウイルスバスター for Mac バージョン 9.0
  • ウイルスバスター for Mac バージョン 10.0

バージョン10.0については、すでに問題を修正したバージョン10.0.1803がリリースされており、アップデートプログラムによって自動で配信・適用される。一方でバージョン9.0についてはすでにサポート期間が切れておりアップデートが提供されないため、トレンドマイクロでは最新バージョン(バージョン11.0)へのバージョンアップを推奨しているとのこと。

脆弱性の深刻度を示すCVSS 3.0のスコアは7.8で、深刻度「重要」に分類されている。JPCERT/CCは、上記のセキュリティアドバイザリを確認した上で、必要に応じてアップデートを適用することを推奨している。