ウイルスバスター法人向け製品に深刻度最高のものを含む複数の脆弱性

　JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は14日、トレンドマイクロ製のソフトウェア「ウイルスバスタービジネスセキュリティ」シリーズに関する複数の脆弱性について公開した。

　対象となるのは、「ウイルスバスタービジネスセキュリティ 9.5」、「ウイルスバスタービジネスセキュリティ 10.0 SP1」および「ウイルスバスタービジネスセキュリティサービス 6.7」。なおこのうち、ウイルスバスタービジネスセキュリティサービス 6.7については、CVE-2020-28574の影響を受けない。

　これらの製品では、認証バイパス(CVE-2020-24563)、境界外読み取り(CVE-2020-24564、CVE-2020-24565など)、パストラバーサルの脆弱性(CVE-2020-28574)が報告されており、CVSS v3(共通脆弱性評価システム)の評価スコアは順に7.8、5.6、10となっている。

　ウイルスバスタービジネスセキュリティ 9.5および10.0 SP1については、同10.0 SP1 Patch 2260以降にアップデートすることで脆弱性の修正が可能。ウイルスバスタービジネスセキュリティサービスについては、2020年8月15日のメンテナンスですでに修正が実施されている。