Trend Micro warnt vor kritischen Sicherheitslücken in mehreren Produkten
In der Nacht zum Freitag veröffentlichte Trend Micro mehrere Schwachstellennachweise (CVEs), die hochriskante Sicherheitslücken in diversen Produkten des IT-Sicherheitsunternehmens betreffen. Die Angreifer könnten diese Lücken ausnutzen, um ihre Rechte im System auszuweiten und kritische Funktionen zu manipulieren. Besonders schwerwiegend ist das Potenzial zur unbefugten Datenlöschung und Manipulation wichtiger Dateien, einschließlich eigener Softwarekomponenten.
Eines der betroffenen Produkte ist Trend Micro Cleaner One Pro, in dem Angreifer durch die Ausnutzung einer Schwachstelle ihre Rechte erhöhen und unbeabsichtigt Trend-Micro-Dateien mit erhöhtem Zugriff löschen könnten, darunter auch die eigenen Cleaner-One-Pro-Dateien. Dieses Risiko wurde mit Version 6.8.333 adressiert. Ähnlich kritisch ist die Situation im Passwort-Manager von Trend Micro, sowohl in der Endkundenversion als auch in der Privatnutzer-Variante. Hier können Angreifer durch den Missbrauch von symbolischen Links und vergleichbaren Methoden eine Link-Verfolgungs-Lücke ausnutzen, um beliebige Ordner und Dateien zu löschen sowie ihre Rechte im System auszubauen. Die Schwachstelle wurde in Version 5.8.0.1330 für Windows und neuere Fassungen behoben.
Auch Trend Micro Security 17.8 ist von einer vergleichbaren Sicherheitslücke betroffen, die durch fehlerhafte Verfolgung von Verknüpfungen zu unbeabsichtigtem Löschen von Trend Micro Dateien mit erhöhtem Zugriff führen kann. Ab Version 17.8 wurde dieses Problem gelöst. Im Bereich Worry-Free Business Security Services Agent (WFBSS) besteht die Möglichkeit, dass Angreifer ohne Authentifizierung die Kontrolle übernehmen können, da ein fehlendes Authentifizierungsverfahren existiert. Diese Schwachstelle betrifft ausschließlich die SaaS-Cloud-Variante, während die On-Premises-Version unbeeinträchtigt bleibt. Durch das monatliche Wartungsupdate wurde der Fehler bereits adressiert, sodass keine zusätzliche Aktion seitens der Administratoren erforderlich ist.
Schlagwörter: Micro + CVEs + Windows
(pz)
