Headline
CVE-2022-28394: アラート/アドバイザリ:パスワードマネージャーの脆弱性について (CVE-2022-28394)
EOL Product CVE - Installer of Trend Micro Password Manager (Consumer) versions 3.7.0.1223 and below provided by Trend Micro Incorporated contains an issue with the DLL search path, which may lead to insecurely loading Dynamic Link Libraries (CWE-427).
Please note that this was reported on an EOL version of the product, and users are advised to upgrade to the latest supported version (5.x).
最終更新日: 2022年5月11日
CVE-2022-28394 における概要および対処方法についてご案内します。
この問題に対する修正はすでに配信されています。
問題の詳細および修正の確認方法については下記内容をご確認ください。
概要
この脆弱性により、攻撃者により事前に同一ディレクトリに用意された DLL を製品インストール時に読みこませることで、任意のコードが実行される可能性があります。
脆弱性の影響範囲
下記の製品にて影響を受ける可能性があります。
- パスワードマネージャー (Windows版) 3.7.0.1223 より前のバージョン
また、CVSS (3.0) によるスコアは次の通りです。
- CVSS (3.0):7.8
脆弱性が発生するプラットフォーム
Windows
攻撃を確認しているか
2022 年 5 月 11 日現在、弊社では本脆弱性を利用した攻撃を確認しておりません。
対応方法・修正の確認方法
本脆弱性の修正を行ったパスワードマネージャー (Windows版) 3.7.0.1223 は、2017 年 7 月 31 日に公開済となっておりますが、パスワードマネージャー (Windows版) 3.x は 2019 年 07 月 30 日でサポートを終了し公開も終了しております。
そのため、パスワードマネージャー (Windows版) 3.x をご利用されている場合は、パスワードマネージャー (Windows版) 5.x へバージョンアップを行ってください。
パスワードマネージャー (Windows版) 5.x では、本脆弱性の影響はございません。
古いバージョンをご利用中のお客さま
最新の脅威へ対応するため、弊社では常に最新バージョンをご利用いただくことを推奨しています。
パスワードマネージャー (Windows版) の古いバージョンをお使いの場合は、最新バージョンへのバージョンアップをご検討ください。 (現在の最新バージョンは 5.x )
パスワードマネージャー (Windows版) のバージョンの確認方法およびアップデートの方法に関しましては、下記リンクをご参照ください。
関連リンク
It wasn’t helpful at all.
Somewhat helpful.
Just okay.
It was somewhat helpful.
It was helpful.
※ご入力いただいた内容については、今後の改善の参考とさせていただきます。
※こちらにご質問などをいただきましてもご返答する事ができません。また、個人情報のご記入はご遠慮下さい。