JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月26日、「JVNVU#95400836: トレンドマイクロ製ウイルスバスター for Macにおけるアクセス制限不備の脆弱性」において、トレンドマイクロが提供しているウイルス対策ソフトウェア「ウイルスバスター for Mac」に脆弱性が発見され、同社が対策バージョンをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって対象のシステム上で不正に管理者権限を取得される危険性があるという。
該当する脆弱性については、トレンドマイクロから次のセキュリティアドバイザリが公開されている。
CVE-2021-43771として追跡されているこの脆弱性は、ウイルスバスター for Macにおける不適切なアクセス制御に起因するもので、悪意を持った攻撃者によって特権の昇格が行われ、管理者権限を取得される可能性がある。その結果、対象のシステム上で任意のコードを実行される恐れがあるという。ただし、トレンドマイクロによれば、この脆弱性を悪用するには、攻撃者が事前に対象のコンピュータ上で低位の特権でコードを実行する権限を持っている必要があるとのことだ。
CVE-2021-43771の影響を受けるバージョンは次のとおり。
- ウイルスバスター for Mac バージョン11.0 ((月額版含む)
トレンドマイクロからは既に対策版がリリースされており、バージョン11.0.2163またはそれ以降のバージョンにアップデートすることで、この脆弱性の影響を回避することができるという。
脆弱性の深刻度を表すCVSS v3の基本スコアは7.8となっている。