Trend Micro Apex OneおよびTrend Micro Apex One SaaSで確認された複数の脆弱性について（2022年11月)：サポート情報 : トレンドマイクロ＠ 11月にリリースされたApexOneの脆弱性

Trend Micro Apex OneおよびTrend Micro Apex One SaaSで確認された複数の脆弱性について（2022年11月)：サポート情報 : トレンドマイクロ

Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおいて、複数の脆弱性が確認されました。

脆弱性製品

CVE-2022-44647
CVE-2022-44648
CVE-2022-44649
CVE-2022-44650
CVE-2022-44651
CVE-2022-44652
CVE-2022-44653
CVE-2022-44654 Trend Micro Apex One
Trend Micro Apex One SaaS

■本脆弱性について
本脆弱性へ対応するためには、各製品の最新ビルドのご利用をお願いいたします。
詳細については、以下のアラート/アドバイザリをご確認ください。

アラート/アドバイザリ：Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年11月）:Q&A | Trend Micro Business Support

サポート情報 : トレンドマイクロ

脆弱性	製品
CVE-2022-44647 CVE-2022-44648 CVE-2022-44649 CVE-2022-44650 CVE-2022-44651 CVE-2022-44652 CVE-2022-44653 CVE-2022-44654	Trend Micro Apex One Trend Micro Apex One SaaS

Apex One 及び、Apex One SaaSにおいて次の脆弱性の存在が確認されました。

CVE-2022-44647およびCVE-2022-44648: 領域外メモリ参照による情報開示の脆弱性

CVSSv3: 4.4: AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L
Apex One及びApex One SaaSにおいて領域外メモリ参照の脆弱性が確認されました。この脆弱性により、攻撃者はローカルで機微な情報を取得できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-44649: 不正変更防止サービスにおける領域外メモリアクセスを用いた権限昇格の脆弱性

CVSSv3: 7.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSの不正変更防止サービスにおいて領域外メモリアクセスの脆弱性が確認されました。この脆弱性により、攻撃者は権限を昇格できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-44650: 不正変更防止サービスにおけるメモリ破壊による権限昇格の脆弱性

CVSSv3: 7.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSの不正変更防止サービスにおいてメモリ破壊の脆弱性が確認されました。この脆弱性により、攻撃者は権限を昇格できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-44651: セキュリティエージェントにおけるTOCTOU（Time-of-Check Time-of-Use）による権限昇格の脆弱性

CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSのセキュリティエージェントにおいてTOCTOUの脆弱性が確認されました。この脆弱性により、攻撃者は権限を昇格できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-44652: 例外に対する不適切な処理による権限昇格の脆弱性

CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSのセキュリティエージェントにおいて例外に対する不適切な処理の脆弱性が確認されました。この脆弱性により、攻撃者は権限を昇格できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-44653: セキュリティエージェントにおけるディレクトリトラバーサルによる権限昇格の脆弱性

CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One及びApex One SaaSのセキュリティエージェントにおいてディレクトリトラバーサルの脆弱性が確認されました。この脆弱性により、攻撃者は権限を昇格できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-44654: 一部のモジュールに対するSAFESEHによるメモリ保護の適用不足

CVSSv3: 7.5: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Apex One及びApex One SaaSのエンジンの一部でSAFESEHによるメモリ保護の適用不足の脆弱性が確認されました。今回の修正で、対象コンポーネントのメモリ保護機構が適用され、製品の安全性を高まりました。

Q&A | Trend Micro Business Support