脆弱性ポータルサイト「JVN」は9月2日、脆弱性レポート(JVNVU#94699053)を公表した。トレンドマイクロ社が提供するセキュリティソフト「ウイルスバスター クラウド」にディレクトリジャンクションの取り扱い不備(CVE-2021-36744)があるとして、注意を呼び掛けている。

ジャンクションは、NTFSファイルシステムのリパースポイントを使って実装されたソフトリンク。ショートカットのように、他のフォルダー(ディレクトリ)へリダイレクト(転送)したい場合に用いられる。
JVNによると、「ウイルスバスター クラウド」にはこのジャンクションの取り扱いに不備があり、第三者によって権限昇格され、サービス運用妨害(DoS)攻撃を受ける可能性があるという。

影響を受けるバージョンは、以下の通り(月額版も含む)。Windows版にのみ影響する。

ウイルスバスター クラウド v17.0
ウイルスバスター クラウド v16.0
ウイルスバスター クラウド v15.0

トレンドマイクロによると8月24日現在、この脆弱性を利用した攻撃は確認されていないとのこと。同社は30日付けでサポートサイトでアドバイザリを公開し、修正プログラムの適用手順を案内している。また、現行版(v17.0)よりも古いバージョンを利用している場合は、現行版へのアップデートを検討するよう呼び掛けている。

Impress
https://forest.watch.impress.co.jp/docs/news/1348281.html