JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は11月24日(米国時間)、「JVNVU#94694991: トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性」において、トレンドマイクロが販売しているセキュリティソフト「ウイルスバスター for Mac」に複数の脆弱性が存在すると伝えた。これらの脆弱性を悪用されると、機密情報の窃取や改竄、カーネルパニックやシステムのクラッシュなどを引き起こされる危険性がある。
今回のレポートには全部で5件の脆弱性が含まれており、それぞれの詳細はトレンドマイクロによる以下のセキュリティアドバイザリにまとめられている。
- アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25778)
- アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-25779)
- アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-27013)
- アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-27014)
- アラート/アドバイザリ:ウイルスバスター for Mac の脆弱性について(CVE-2020-27015)
5件の脆弱性のうち、CVE-2020-27014は深刻度を表すCVSS v3のスコアが8.2で「重要」に分類されており、特に注意が必要。これはWeb脅威対策機能におけるTOCTOU(Time Of Check To Time Of Use)競合の脆弱性で、管理者権限を取得した第三者によって悪用されると、カーネルパニックやシステムのクラッシュが引き起こされる危険性がある。ただし、悪用するには攻撃者が対象のコンピュータの管理者権限を取得している必要があるとのこと。
その他の脆弱性の深刻度は、CVE-2020-25778、CVE-2020-27013、CVE-2020-27015が「警告」、CVE-2020-25779が「注意」に分類されている。
これらの脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- ウイルスバスター for Mac バージョン 9.0
- ウイルスバスター for Mac バージョン 10.0
これらのうち、バージョン 10.0は対策を施したパッチ(バージョン 10.0.1803以降)がリリースされているため、これを適用することで脆弱性を修正することができる。パッチは自動的に配信・適用されるとのこと。バージョン 9.0は既にサポート期間が終了しておりアップデートが提供されていないため、現行の最新版であるバージョン 11.0へのアップグレードが推奨されている。