趨勢科技警告周一發出安全公告，旗下防毒軟體OfficeScan及Apex One有5項漏洞，其中2個零時差漏洞已經有攻擊發生。趨勢已經發布修補程式，呼籲用戶儘速安裝修補程式。

5項漏洞之中CVE-2020-8467及 CVE-2020-8468為零時差漏洞，兩者都已有攻擊行為發生。其中CVE-2020-8467存在於Apex One及OfficeScan的搬移工具元件，可能讓遠端駭客在用戶電腦上執行任意程式碼，屬於遠端程式碼執行（RCE）漏洞。CVE-2020-8468則是屬於內容驗證逃逸（content validation escape）漏洞，也可讓駭客以系統權限遠端執行任意程式碼。兩項漏洞的攻擊需要使用者驗證才會成功，但以風險程度來看，CVE-2020-84697 屬重大（Critical）風險，CVE-2020-8468為較低的高度（High）風險。

OfficeScan為趨勢端點防毒軟體，Apex One則為2019年由OfficeScan改名而成。

另三個漏洞包括CVE-2020-8470、CVE-2020-8598、CVE-2020-8599則全屬重大（Critical）風險漏洞。CVE-2020-8470、CVE-2020-8598皆出在Apex One及Office Scan兩個產品的服務DLL檔，可讓駭客以系統權限遠端刪除、執行任意檔案。CVE-2020-8599則發生在兩個產品的EXE檔中，遠端駭客可以繞過ROOT登入驗證，而將任意資料寫入任意路徑中。三者皆無需驗證即可完成開採，因而皆屬CVSS 3.0風險評分最高10分的漏洞，所幸趨勢科技尚未觀察到有攻擊情形發生。

受影響產品為Windows版本的Apex One 2019，及OfficeScan XG SP1和XG SG (non-SP)。趨勢科技已經分別釋出更新版，包括Apex One CP2117、XG SP1 CP 5474和XG CP 1988，並呼籲用戶儘速安裝。

ZDNet報導，去年日本重工及家電業者三菱電機的電腦遭駭，導致200MB包含6千多名現任及前任員工個資外洩，其實是中國駭客組織Tick發動攻擊開採OfficeScan零時差漏洞CVE-2019-18187的結果 。二次的攻擊行動是否來自同一集團所為尚不得而知。