关键漏洞信息 漏洞ID: CVE-2023-28929 影响产品: Trend Micro Security (2021, 2022, 2023 消费者产品) 发布日期: 2023年3月28日 最后更新日期: 2023年5月16日 平台: Microsoft Windows CVSS 3.1 评分: 8.6 - 攻击向量: 网络 (AV:L) - 攻击复杂度: 低 (AC:L) - 特权要求: 无需 (PR:N) - 用户交互: 需要 (UI:R) - 作用域: 已更改 (S:C) - 机密性影响: 高 (C:H) - 完整性影响: 高 (I:H) - 可用性影响: 高 (A:H) 严重性评级: 中等 漏洞描述 摘要: Trend Micro 已经通过 ActiveUpdate 发布了更新,解决了 Trend Micro Security for Windows 家族的消费者产品版本(2021, 2022, 2023)中的 DLL 劫持漏洞。 影响版本: - Trend Micro Security 2022/2023 (17.7.1476 及以下版本) - Trend Micro Security 2021 (17.0.1412 及以下版本) 解决方案: Trend Micro 为每个受影响的版本通过 ActiveUpdate 发布了更新,以解决此问题。 - 适用版本: - Trend Micro Security 2022/2023 (17.7.1634 及以下版本) - Trend Micro Security 2021 (17.0.1426 及以下版本) 漏洞细节: Trend Micro Security 2021, 2022, 2023(消费者)存在 DLL 劫持漏洞,可能允许攻击者使用特定的可执行文件作为执行和/或持久机制,每次启动可执行文件时都可能执行恶意程序。目前未收到任何针对该问题的实际攻击报告。 致谢 感谢以下个人负责任地披露此问题并协助 Trend Micro 保护客户: 日本电报电话公司,NTT Security (Japan) KK, NTT数据公司: - Fujita Rintaro - Hada Hiroki - Mashiko Hiroki 额外援助 有疑问的客户可通过联系 Trend Micro 技术支持寻求进一步的帮助。