トレンドマイクロとウイルスバスター

今日、ＣＰＵの脆弱性について調べていたら、やたらと目につく情報があった。

脆弱性レポート 一覧
https://jvn.jp/report/index.html


それは、トレンドマイクロとウイルスバスター。

以下はそれらを少し抜き出したもの。いくらなんでも多すぎる。

他のセキュリティソフトは単に報告が無いだけで似たようなものなのだろうか、とも思うが。

それにしても流石は中国企業、そして中国製のセキュリティソフトだ。


公開日：2021/09/30　最終更新日：2021/09/30
トレンドマイクロ製ServerProtectにおける認証回避の脆弱性
https://jvn.jp/vu/JVNVU99520559/index.html

公開日：2021/10/25　最終更新日：2021/10/25
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92842857/index.html

公開日：2021/11/26　最終更新日：2021/11/26
トレンドマイクロ製ウイルスバスター for Macにおけるアクセス制限不備の脆弱性
https://jvn.jp/vu/JVNVU95400836/index.html

公開日：2021/12/08　最終更新日：2021/12/08
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98117192/index.html

公開日：2022/01/24　最終更新日：2022/01/24
トレンドマイクロ製Deep SecurityおよびCloud One Workload SecurityのLinux版Agentにおける複数の脆弱性
https://jvn.jp/vu/JVNVU95024141/index.html

公開日：2022/02/17　最終更新日：2022/02/17
トレンドマイクロ製ウイルスバスター for Macにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU95075478/index.html

公開日：2022/03/01　最終更新日：2022/03/01
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における脆弱性に対するアップデート (2022年3月)
https://jvn.jp/vu/JVNVU96994445/index.html

公開日：2022/03/02　最終更新日：2022/03/02
トレンドマイクロ製ServerProtectにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92972528/index.html

公開日：2022/03/10　最終更新日：2022/03/10
トレンドマイクロ製パスワードマネージャーのインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU96777901/index.html

公開日：2022/04/06　最終更新日：2022/04/06
トレンドマイクロ製ウイルスバスター for Macにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU97833256/index.html

公開日：2022/05/11　最終更新日：2022/05/11
トレンドマイクロ製パスワードマネージャーのインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN60037444/index.html

公開日：2022/05/12　最終更新日：2022/05/12
トレンドマイクロ製スマートホームスキャナー（Windows版）のインストーラにおけるDLL読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU93434935/index.html

公開日：2022/05/23　最終更新日：2022/05/23
トレンドマイクロ製パスワードマネージャーにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU92641706/index.html

公開日：2022/06/02　最終更新日：2022/06/02
トレンドマイクロ製Apex OneおよびApex One SaaSにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90675050/index.html

公開日：2022/08/17　最終更新日：2022/08/17
トレンドマイクロ製企業向けエンドポイントセキュリティ製品におけるリンク解釈に関する脆弱性
https://jvn.jp/vu/JVNVU96643038/index.html

公開日：2022/08/17　最終更新日：2022/08/17
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93109244/index.html

公開日：2022/10/07　最終更新日：2022/10/07
トレンドマイクロ製Deep SecurityおよびCloud One - Workload SecurityのWindows版Agentにおける複数の脆弱性
https://jvn.jp/vu/JVNVU99960963/index.html

公開日：2023/03/01　最終更新日：2023/03/01
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96882769/index.html

公開日：2023/06/13　最終更新日：2023/06/13
複数のトレンドマイクロ製企業向け製品における脆弱性に対するアップデート (2023年6月)
https://jvn.jp/vu/JVNVU91852506/index.html

公開日：2023/07/24　最終更新日：2023/07/24
トレンドマイクロ製ウイルスバスター クラウドにおける権限昇格の脆弱性
https://jvn.jp/vu/JVNVU93384719/index.html


参考：

ウイルスバスターを使ってはいけない理由
https://17inch.blog.ss-blog.jp/2020-05-28-1

ウイルスバスターがいつの間にか真の中国製になっていた
https://17inch.blog.ss-blog.jp/2019-06-05

最近セキュリティで思う
https://17inch.blog.ss-blog.jp/2014-03-02

CPUの脆弱性2023

AMDとIntelから出ているCPUに、それぞれ脆弱性が存在する事が新たに判明した。


AMDの脆弱性は今年７月に発表されたもので、Zen2コアを使うCPU全てが影響を受ける。

Zen 2コアに脆弱性。修正は2023年10月以降
https://pc.watch.impress.co.jp/docs/news/1518766.html

RyzenシリーズなどAMD CPUの一部にプロセス間情報漏洩の脆弱性
https://forest.watch.impress.co.jp/docs/news/1518841.html

CVE-2023-20593 (Zenbleed とも呼ばれる) という番号が付けられたこの問題による影響は、WebページのJavaスクリプトを使って「暗号化キーやパスワード」を取得できてしまうというもの。

従って、パソコンでそのような情報を扱わないのであればたいした影響は無い。

問題の対策についてはUEFIのアップデートが必要であり、色々な意味で高い壁が存在する。

特に自作向けのマザーボードの場合、比較的古い機種は対策されたUEFIの供給が無い可能性が高い。

なので、対策されたUEFIの供給が無い場合で、かつこの問題の影響を避けたい人は、Zen3コアのCPUに換装すれば良い。

また、メーカー製パソコンの場合も一部の機種ではやはり対策されない可能性がある。


次はIntel製CPUの脆弱性について。

Intel第6世代～第11世代CPUに影響する脆弱性「Downfall」
https://news.mynavi.jp/article/20230809-2745873/

Intel製品に複数の脆弱性（2023年8月）
https://jvn.jp/vu/JVNVU99796803/

こちらは影響の範囲が第6世代～第11世代CPUと広く、しかもかなり深刻な問題である模様。

“メモリの最適化機能によって意図せずにハードウェアの内部レジスタを公開してしまう”という事から、Zenbleedと似た影響の脆弱性に思えるが。

影響する製品の範囲が広い事に加え、問題が複数ある事と、対策すると最大で50％も性能が落ちるというオマケが、問題をより深刻にしている。

この問題の影響から逃れる手段は二つ。

一つは最大50％の性能低下を受け入れて、緩和策の適用を行う事（緩和策の具体的な内容は不明）。

二つ目は、第12世代以降のIntel製CPUを使ったシステム、もしくはAMDのZen3以降のCPUを使ったシステムに移行する事。

要は最大50％の性能低下を受け入れるか、新しいパソコンに買い替えるか、だ。

Intel 終わっ tel。