独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月23日、ウイルスバスター クラウド(Windows版)に実装されたActive Update機能における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社イエラエセキュリティ 三村聡志氏が報告を行った。影響を受けるシステムは以下の通り。ウイルスバスター クラウド(Windows版)バージョン15 およびそれ以前JVNによると、トレンドマイクロ株式会社が提供するウイルスバスター クラウド(Windows版)に実装されたActive Update機能には、アップデートファイルの検証不備(CVE-2020-15604)の脆弱性とアップデートサーバとの間の通信におけるサーバ証明書の検証不備(CVE-2020-24560)の脆弱性が存在し、CVE-2020-15604 および CVE-2020-24560の CVSS評価では、無線LANのアクセスポイントを設置した第三者によって中間者攻撃(man-in-the-middle attack)が行われることを想定している。想定される影響としては、細工されたアップデートファイルをダウンロードすることで、SYSTEM権限で任意のコードを実行される可能性がある。JVNでは開発者が提供する情報をもとに、該当する製品を最新版にアップデートするよう呼びかけている。また、開発者によるとウイルスバスター クラウド(Windows版)のバージョン16以降では本脆弱性の対策が行われているとのこと。
Microsoft Windows の Windows Update Orchestrator Service におけるCOM API への権限制御不備により管理者権限への昇格が可能となる脆弱性(Scan Tech Report)2020.9.10 Thu 8:10
