Trend Micro fixes critical vulnerabilities in multiple products

トレンドマイクロは、同社のApex CentralおよびEndpoint Encryption (TMEE) PolicyServer製品に影響を及ぼす複数の重大なリモートコード実行および認証バイパスの脆弱性に対処するためのセキュリティ更新プログラムをリリースした。

同セキュリティベンダーは、いずれの脆弱性についても、現在までに積極的に悪用された形跡はないと強調している。しかし、リスクに対処するために、セキュリティ更新プログラムを直ちに適用することが推奨される。

Trend Micro Endpoint Encryption PolicyServerは、Trend Micro Endpoint Encryption(TMEE)の中央管理サーバであり、Windowsベースのエンドポイントにフルディスク暗号化とリムーバブルメディア暗号化を提供する。

同製品は、データ保護基準の遵守が重要な規制業界の企業環境で使用されています。

最新のアップデートにより、トレンドマイクロは以下の重大かつ重要な欠陥に対処しました:

  • CVE-2025-49212 PolicyValueTableSerializationBinder クラスの安全でないデシリアライズに起因する、認証前のリモートコード実行の欠陥。リモート攻撃者は、これを悪用して、ログインを要求せずに SYSTEM として任意のコードを実行できます。
  • CVE-2025-49213 PolicyServerWindowsService クラスに、信頼できないデータのデシリアライズに起因する、認証前リモートコード実行の脆弱性が存在します。攻撃者は、認証を必要としない SYSTEM として任意のコードを実行することができます。
  • CVE-2025-49216 壊れた認証実装に起因する、DbAppDomain サービスにおける認証バイパスの脆弱性です。リモート攻撃者は、ログインを完全にバイパスし、認証情報なしで管理者レベルのアクションを実行することができます。
  • CVE-2025-49217ValidateToken メソッドに、安全でないデシリアライズによって引き起こされる、 認証前の RCE 脆弱性です。悪用はやや困難ですが、認証されていない攻撃者が SYSTEM としてコードを実行する可能性があります。

なお、Endpoint Encryption PolicyServerに関するトレンドマイクロのセキュリティ情報では、上記の4つの脆弱性すべてが「クリティカル(Critical)」であるとされているが、ZDIのアドバイザリでは、CVE-2025-49217が重大性の高い脆弱性であるとされている。

Endpoint Encryption PolicyServer の最新バージョンで対処されたその他の問題には、さらに 4 つの深刻度の高い脆弱性(SQL インジェクションや権限昇格の問題など)が含まれています。

すべての脆弱性は、バージョン6.0.0.4013(Patch 1 Update 6)で対処されている。この欠陥は、最新版までのすべてのバージョンに影響し、その緩和策や回避策はない。

トレンドマイクロが対処した2つ目の問題は、組織全体で複数のトレンドマイクロ製品およびセキュリティエージェントの監視、設定、管理に使用される集中型セキュリティ管理コンソールであるApex Centralに影響する。

いずれの問題も、クリティカルレベルの認証前リモートコード実行の不具合です:

  • CVE-2025-49219– Apex CentralのGetReportDetailViewメソッドに、安全でないデシリアライズに起因する認証前のRCEの欠陥があります。これを悪用すると、認証されていない攻撃者が NETWORK SERVICEのコンテキストでコードを実行できます。(CVSS 9.8)
  • CVE-2025-49220– Apex Central の ConvertFromJson メソッドに認証前の RCE が発生します。デシリアライズ中の不適切な入力検証により、攻撃者は認証なしでリモートから任意のコードを実行できます。(CVSS 9.8)

これらの問題はApex Central 2019(オンプレミス)向けのパッチB7007で修正されましたが、Apex Central as a Service向けのバックエンドでは自動的に適用されます。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Tines Needle

ITチームが手作業によるパッチ管理をやめる理由

かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。

この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。