トレンドマイクロ製パスワードマネージャーに権限昇格の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月30日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・管理者権限を取得され、任意のコードが実行されると何が起こるのか
・脆弱性発覚、ユーザーに出来る事はアップデートが行われるのを待つのみ?
今回の解説ニュース
トレンドマイクロのパスワードマネージャに脆弱性が発見されましたので、ご利用中の方は最新版へアップデートしましょう。今回発表された脆弱性の内容と、回避策の検討について説明します。
今回の脆弱性は、当該製品がインストールされたシステムにログイン可能なユーザによって、管理者権限を取得され、任意のコードが実行される可能性があると発表されています。CVE番号は「CVE-2022-30523」が割り当てられており、CVSSv3のベーススコアは10点中7.8点で、深刻度は上から2番目の「重要」とされています。
該当するソフトウェアのバージョンは、Windows版の5.0.0.1266以前です。なお、Mac版、Android版、iOS版には影響がないとされています。対策として、プログラムのアップデートが自動で配信され適用されていることを確認することが必要です。対策済みのバージョンは、5.0.0.1270以降となります。
管理者権限を取得され、任意のコードが実行されると何が起こるのか
任意のコードが実行される脆弱性は、脆弱性の持つソフトウェアの権限ですべての操作を実行することができます。よって、主にソフトウェアを実行したユーザの権限に依存して被害が発生する可能性があります。
例えば、Aさんの免許証を誰でも使える脆弱性があったとします。コピーを取った紙を悪用されたり、財布ごと落としてしまったり、様々な原因が考えられますが、Aさんの免許証が悪用されると、Aさんになり済まして、車やお金を借りることができるかもしれません。理由は、免許証が身分証明書として本人であることを証明するものであるからです。さらに、Aさんが会社の印鑑を持ち出していて、免許証と同様に悪用されたとします。この場合、Aさんの権限を越えて、会社として車やお金を借りられるだけでなく、さらに被害が甚大になることが考えられます。
任意のコードが実行される脆弱性も、これに近い構造を持っています。ソフトウェアは主に実行したユーザの権限が、そのソフトウェアに割り当てられます。脆弱性が原因で任意のコードが実行されると、主にソフトウェアを実行したユーザと同じ操作が、そのソフトウェアがインストールされたパソコンで実行できることになります。具体的には、ブラウザやメールに保存されている情報を窃取される可能性があります。
さらに、管理者権限を取得される脆弱性も存在していたとすると、ソフトウェアを実行したユーザ以上の権限ですべての操作が実行されることになり、さらに被害が甚大になることが考えられます。具体的には、ソフトウェアをアンインストールされたり、別のマルウェアをインストールされたりする可能性があります。
その他のトピック
脆弱性発覚、ユーザーに出来る事はアップデートが行われるのを待つのみ?
(全文はこちら)