独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月19日、複数のトレンドマイクロ製品における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ
・CVE-2024-36302、CVE-2024-36303、CVE-2024-36304、CVE-2024-36305、CVE-2024-36306、CVE-2024-36307、CVE-2024-37289
Apex One
Apex One SaaS
・CVE-2024-36358
Deep Security Agent(Windows版)バージョン20.0
※以下環境に影響はない。
Deep Security Virtual Appliance(DSVA)およびDSVAによって保護されるWindows仮想マシン
Deep Security Agent(Linux版)
Deep Security Agent(Unix版)
・CVE-2024-36359
InterScan Web Security Virtual Appliance(IWSVA)6.5 SP3 Patch2 ビルド3366より前のバージョン
InterScan Web Security Suite(IWSS)6.5 Patch4 ビルド3152より前のバージョン
アップデートが公開された複数のトレンドマイクロ製品には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・Apex One、Apex One SaaS
送信元の検証の不十分さによるローカル権限昇格(CVE-2024-36302、CVE-2024-36303)
Time-of-check Time-of-use(TOCTOU)競合によるローカル権限昇格(CVE-2024-36304)
リンク解釈の問題によるローカル権限昇格(CVE-2024-36305)
ダメージクリーンナップエンジンにおけるリンク解釈の問題によるサービス運用妨害(DoS)攻撃(CVE-2024-36306)
リンク解釈の問題による情報漏えい(CVE-2024-36307)
不適切なアクセス権限の付与によるローカル権限昇格(CVE-2024-37289)
・Deep Security Agent
リンク解釈の問題によるローカル権限昇格(CVE-2024-36358)
・IWSVA、IWSS
クロスサイトスクリプティングによる権限昇格(CVE-2024-36359)
JVNでは、トレンドマイクロが提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、トレンドマイクロでは、軽減策の実施も推奨している。
