ニュース

トレンドマイクロの「パスワードマネージャー」に情報漏えいの脆弱性など、JVNが注意喚起

 トレンドマイクロ株式会社が提供するWindows/Mac版のパスワードマネージャーに情報漏えいに繋がる複数の脆弱性が存在するとして、脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。

特定の条件下でID・パスワード情報をメモリ上に平文で保持し続ける状態が発生

 Windows版のバージョン「3.8.0.1103」以前、Mac版のバージョン「3.8.0.1052」以前には、機微な情報を取得される恐れのある脆弱性(CVE-2019-15625)が存在する。共通脆弱性評価システム「CVSS v3」のスコアは5.6。

 特定の条件下において、ID・パスワードなどの情報をメモリ上に平文で保持し続ける状態が発生するため、ユーザー権限を取得した第三者がメモリ内容をスキャンすることで、機微な情報が取得されてしまう。

製品内で生成されるルートCA証明書用の秘密鍵が取得可能な脆弱性フィッシング詐欺に悪用される恐れも

 このほか、Windows版のバージョン「5.0.0.1076」以前、Mac版のバージョン「5.0.1047」以前において、製品内で生成されるルートCA証明書用の秘密鍵が取得可能な脆弱性(CVE-2019-19696)が存在する。CVSS v3のスコアは3.3。

 同製品には秘密鍵の保護に問題があり、ローカルの第三者が秘密鍵を窃取した場合、任意のSSL/TLSサーバー証明書が作成可能となるため、フィッシング詐欺などに悪用される可能性がある。

 これらの脆弱性を悪用した攻撃は1月16日時点で確認されていないが、脆弱性を修正したWindows版のバージョン「5.0.0.1081」、Mac版のバージョン「5.0.1073」が公開されているため、適用することが推奨されている。なお、Android/iOS版ではいずれの脆弱性の影響を受けない。