JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月10日、「JVNVU#96777901: トレンドマイクロ製パスワードマネージャーのインストーラにおけるDLL読み込みに関する脆弱性」において、トレンドマイクロが提供している「パスワードマネージャー 5.x Windows版」に脆弱性が発見され、同社が修正バージョンをリリースしたと伝えた。この脆弱性を悪用されると、該当する製品をインストールする際に対象システムの管理者権限を攻撃者に奪取される危険性がある。

該当する脆弱性に関する情報は、トレンドマイクロによる次のセキュリティアドバイザリにまとめられている。

  • アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2022-26337)

    アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2022-26337)

CVE-2022-26337として追跡されているこの脆弱性は、該当するバージョンのインストーラにおけるDLLの読み込みに関するもので、攻撃者は事前に細工されたファイルを用意しておくことによって、インストーラ実行時に管理者権限を不正に取得できる可能性があるという。脆弱性の深刻度を表すCVSS v3のベーススコアは4.8に指定されている。

  • パスワードマネージャー 5.x Windows版 5.0.0.1262以下のインストーラ

本稿執筆時点でトレンドマイクロが配布しているパスワードマネージャのインストーラは、すでに修正版が適用されているという。なお、この脆弱性の影響を受けるのはインストーラの実行時のみであり、すでに製品をインストール済みの場合は影響を受けない。

また、Mac版、Android版、iOS版、およびウイルスバスター クラウドなどの他製品はこの脆弱性の影響を受けないとのことだ。