Trend Micro hat dringende Sicherheitsupdates veröffentlicht, um sechs kritische Schwachstellen in seinen Unternehmenslösungen zu beheben, darunter Apex Central, Endpoint Encryption und PolicyServer. Die Lücken ermöglichen unter anderem Remote Code Execution, das Löschen beliebiger Dateien und das Manipulieren von Produktkomponenten. Die Schwachstellen tragen die Bezeichnungen CVE-2024-29291 bis CVE-2024-29296 und erreichten CVSS-Werte von bis zu 9.8. Sowohl Windows- als auch Linux-Versionen sind betroffen. Besonders kritisch: einige der Lücken erlauben es, Befehle ohne Authentifizierung auf den betroffenen Systemen auszuführen. Laut Trend Micro wurden die Schwachstellen intern entdeckt, bisher gibt es keine Hinweise auf aktive Ausnutzung. Kunden wird dringend empfohlen, die Patches unverzüglich einzuspielen.
Analyse unserer Experten:
Kritische Schwachstellen in Sicherheitssoftware, die Unternehmen schützen soll, sind ein bitterer Widerspruch. Produkte wie Apex Central oder Endpoint Encryption gelten als digitale Schutzwälle, und entpuppen sich hier als mögliche Einfallstore. Wenn unauthentifizierte Angreifer Remote Code Execution auslösen können, verschwimmt die Linie zwischen Schutz und Bedrohung. Dass Trend Micro die Lücken selbst entdeckt hat, ist positiv. Aber es entschuldigt nicht die architektonische Nachlässigkeit, die solche Ausführungspfade überhaupt ermöglicht hat. Im Jahr 2025 können Unternehmen sich keine Lösungen mehr leisten, die schon an grundlegender Härtung scheitern. Kritische Infrastruktur braucht kritisches Denken, nicht kritische CVEs.
Zum vollständigen Artikel.
