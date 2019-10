Trend Micro weist in aktuellen Security Bulletins auf wichtige Patches für die Windows-Varianten von Apex One, OfficeScan und Worry-Free Business Security (WFBS) hin. Sie schließen zwei Schwachstellen, von denen laut Hersteller ein hohes Sicherheitsrisiko ausgeht.

Bei beiden handelt es sich um so genannte "Directory Traversal"-Schwachstellen, die typischerweise unbefugte Verzeichnis- oder Dateizugriffe über bestimmte URLs erlauben. Eine von ihnen betrifft ausschließlich OfficeScan; hier will Trend Micro aktive Exploit-Versuche in freier Wildbahn beobachtet haben. Das Unternehmen rät Anwendern dazu, die Produkte möglichst zeitnah zu aktualisieren.

CVE-2019-18189: Root Login Bypass

Der Schwachstelle CVE-2019-18189 in Apex One, OfficeScan und Worry-Free Business Security ist ein CVSS-v3-Score von 8.8 ("High") zugeordnet. Trend Micros Security Bulletin ist zu entnehmen, dass sie einem Angreifer die Anmeldung als Root-User in der Management-Konsole der verwundbaren Software ermöglichen könnte. Eine vorherige Authentifizierung mit geringeren Privilegien sei nicht erforderlich.

Grundsätzlich verwundbar sind (vor Installation der im Bulletin genannten Patches) die Windows-Varianten von Apex One (on premise), OfficeScan XG, XG SP1 und 11.0 SP1 sowie Worry-Free Business Security 9.5, 10.0 und 10.0 SP1.

CVE-2019-18187: Datei-Upload und RCE

Die OfficeScan-spezifische Schwachstelle CVE-2019-18187 (CVSS-v3-Score 8.2/"High") ermöglicht einem Angreifer laut Security-Bulletin den Upload beliebiger ZIP-Archive in ein bestimmtes Verzeichnis des OfficeScan-Servers. Um die Dateien aus dem hochgeladenen Archiv zur Ausführung zu bringen (Remote Code Execution, RCE), müsste er sich allerdings zusätzlich über einen Webservice-Account mit ausreichenden Zugriffsrechten am Server anmelden. Weitere Details nennt Trend Micro nicht.

Von CVE-2019-18187 betroffen sind laut Bulletin OfficeScan XG, XG SG1 und XG 11.0 SP1 für Windows, sofern die dort genannten CPs noch nicht installiert wurden.



Patches und weitere Informationen

Details zu den jeweils verwundbaren und abgesicherten Software-Versionen sowie Readme-Dateien mit Informationen zu den Patches finden Betroffene in den englischsprachigen Security Bulletins zu CVE-2019-18189 beziehungsweise zu CVE-2019-18187.

Da dort nur die englischen Versionen der Patches verlinkt sind, müssen Nutzer deutschsprachiger Versionen allerdings den Umweg über Trend Micros Download-Center gehen, um die jeweils aktuellste Software-Version herunterzuladen. (ovw)