シマンテック・コーポレーションが提供する「Symantec 製品」および「Norton 製品」に複数の脆弱性が存在すると公開しました。

脆弱性内容

①RAR の圧縮解除にメモリアクセス違反

CVSS v3＝7.8

CVSS v2＝7.5

②Dec2SS のバッファオーバーフロー

CVSS v3＝9.0

CVSS v2＝8.6

③Dec2LHA のバッファオーバーフロー

CVSS v3＝9.0

CVSS v2＝8.6

④CAB の圧縮解除でメモリが破損

CVSS v3＝7.8

CVSS v2＝7.5

⑤MIME メッセージの変更でメモリが破損

CVSS v3＝7.8

CVSS v2＝7.5

⑥TNEF の整数オーバーフロー

0

⑦ZIP の圧縮解除にメモリアクセス違反

CVSS v3＝7.8

CVSS v2＝7.5

発見されたシステム・バージョン

• すべての Symantec 製品
• すべての Norton 製品

対応方法

開発者によると

製品のアップデート自体はたいてい自動ですが、影響を受ける製品の詳しい一覧と、インストールの手順は必ず確認することをお勧めします。

とのことです。

今回の脆弱性はGoogleのセキュリティチーム「Project Zero」が発見しブログで注意を呼びかけた。

セキュリティソフトはその性質上、高い権限で実行されており、脆弱性も深刻度の高いものが目立つ。

これらの脆弱性を悪用した攻撃はまだ確認されていないとのことですが、製品のアップデートなどの早急な対策が求められます。

ご利用の方は、製品型番ご確認のうえ、しかるべき対応をすることをお勧めします。

【ベンダリンク】
ノートン製品とエンタープライズ製品のアップデートを公開