Kaspersky と Trend Micro は、それぞれのセキュリティ ツールの脆弱性を解決するためのアップデートをリリースしました。
これらのアップデートは、Microsoft、Adobe、Apple、SAP からの月例セキュリティ パッチ ダンプの直後にリリースされるため、管理者はユーザーのシステムでテストしてインストールするアップデートをもう 1 つ得ることになります。
カスペルスキー社の修正は、ドイツの技術雑誌「C't」が発見し同社に報告したプライバシーの脆弱性に対処するものである。
記者のロナルド・アイケンバーグ氏は、カスペルスキー社のウイルス対策ソフトウェアがウェブサイトにJavaScript(マルウェアチェックのための意図的な動作)を挿入し、そのコードに固有の識別子を付加していることを発見しました。このコードと識別子はウェブサイト運営者にも閲覧可能でした。
「言い換えれば、どんなウェブサイトでもユーザーのカスペルスキーIDを読み取り、追跡に利用できるということです」とアイケンバーグ氏は説明した。「同じUniversally Unique Identifier(UUID)が再び表示されたり、同じ運営者の別のウェブサイトに表示されたりすれば、同じコンピューターが使用されていることが分かります。」
カスペルスキーは、この行為がもたらすリスクを軽視したが、アイケンバーグ氏と連絡を取り、ウェブウイルス対策ツールの一部として固有の識別子を含めるのをやめることに同意したことを認めた。
「カスペルスキーは、GETリクエストの固有識別子の使用を削除することで、Webページの悪意あるアクティビティをチェックするプロセスを変更しました」と広報担当者はThe Registerへの声明で述べた。
この変更は、GET リクエストに固有の識別子を使用するとユーザーの個人情報が漏洩する可能性があるという、Ronald Eikenberg からの報告を受けて行われました。
社内調査の結果、ユーザーのプライバシーを侵害するシナリオは理論的には可能ではあるものの、サイバー犯罪者にとって複雑で利益率が低いため、実際に実行される可能性は低いという結論に達しました。しかしながら、当社は技術と製品の改善に継続的に取り組んでおり、このプロセスに変化をもたらしています。
インテル:NUCのバカども、よく聞きなさい!ミニPCとスティック型コンピューティングに重大なセキュリティ修正が加えられました
続きを読む
トレンドマイクロのアップデートでは、Windows版Password Manager 5.0に存在するDLLハイジャック脆弱性2件が修正されます。このパスワードツールは、Premium Security 2019およびMaximum Security 2019スイートに含まれています。
SafeBreach Labs の Peleg Hadar 氏と Infiniti Team の Trần Văn Khang 氏は、CVE-2019-14684 と CVE-2019-14687 の報告で評価され、攻撃者が Trend Micro のパスワード ツールを騙して署名のない DLL からコードを実行できるようにする 2 つの別々のエラーを発見しました。
このようなシナリオはターゲットマシンの完全な乗っ取りを意味しますが、これを悪用するためには、攻撃者はターゲットが脆弱な Trend パスワード マネージャーを実行していることを知る必要があるだけでなく、悪意のある DLL を PC に配置する能力も必要であることに留意してください。
ただし、Trend Password Manager 5.0 (2019 とも呼ばれます) を実行している場合は、ビルド 5.0.0.1058 以降に更新する必要があります。®
