トレンドマイクロさん、ウイルスバスター Home Network Securityの脆弱性は製品アップデートの告知に書かないよ!
トレンドマイクロのセキュリティ端末「Home Network Security」に複数の脆弱性 | TECH+
| CVE-2021-32457およびCVE-2021-32458は、ioctlにおけるスタックオーバーフローの脆弱性で、攻撃者が特別に細工したioctlを発行することによってデバイスの特権を昇格させる可能性があるという。脆弱性の深刻度を表すCVSS v3のスコアは7.8で、5段階中の2番目に高い「重要」に分類されている。
CVE-2021-32459は、SFTPログ収集サーバにハードコードされたパスワードが含まれていることが原因で、攻撃者は特別に細工したネットワーク要求を使用して任意の認証を行えるというもの。CVSS v3のスコアは4.7で、深刻度は5段階中の3番目にあたる「警告」に分類されている。 |
1つ目がスタックオーバーフローでもう一つが、ハードコードされたパスワードを使いまわしていたというお粗末なもの。
セキュリティシステムを作る上で設計思想がおかしいとしか思えないような欠陥がガンガン出てくる
私が一番問題にするのは、問題の隠ぺい体質だ。
以下は製品のアップデート情報のページなのだが、本来書くべき赤字の部分が書かれていないことだ。
アップデートにセキュリティ更新があることをにおわせないのは大問題だと思う(・ω・)
製品アップデート情報 - ウイルスバスター for Home Network|トレンドマイクロ - 個人のお客さま向けセキュリティ対策
| 日付 | 本体ファームウェアバージョン | アプリバージョン | カテゴリー | アップデート内容 |
|---|---|---|---|---|
| 2021/5/20 | 6.7.609 |
6.70.1814 ※iOS・Android共通 |
ユーザビリティ | 同一デバイスが複数登録されてしまう問題を一部改善しました |
| その他 | バグの修正、細かい改善、脆弱性の修正 | |||
| 2021/4/22 | 6.6.604 |
6.60.1805 ※iOS・Android共通 |
その他 | バグの修正、細かい改善 |
| 2021/3/25 | 6.5.597 |
6.50.1795 ※iOS・Android共通 |
ユーザビリティ | ご自宅のネットワークに適したモードの診断: [設定]->[本体の設定]から[推奨モードの検出]をお試しください。 |
| その他 | バグの修正、細かい改善 | |||
| 2021/3/4 | 6.4.591 |
6.40.1783 ※iOS・Android共通 |
その他 | バグの修正、細かい改善 |
| 2021/1/12 | 6.2.575 |
6.20.1775 ※iOS・Android共通 |
その他 | バグの修正、細かい改善 |
ちなみに、このセキュリティホール 少なくとも、ファームウェアバージョン 6.1.567 まで遡れるそうだ。まぁ、平常運転ですね・ω・
アラート/アドバイザリ:ウイルスバスター for Home Network の脆弱性について(CVE-2021-32457,CVE-2021-32458,CVE-2021-32459) ・ Trend Micro for Home
製品ページからアドバイザリにたどり着くのも非常に困難。
Translate
ここの製品は、仮に企業向けであっても「使わない」のが最善かと。
マカフィー創業者が自殺か スペインで勾留中に死亡
https://news.yahoo.co.jp/pickup/6396857