CISA、「既知の悪用された脆弱性カタログ」に36件を追加--早急なパッチ適用を

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2022-06-13 09:57

 米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間6月8日、「既知の悪用された脆弱性カタログ」に36件の脆弱性を追加したと発表した。

 これら脆弱性は、悪意あるアクティビティーの攻撃ベクターとして頻繁に利用されており、「重大なリスク」をもたらしているとCISAは警告している。そして組織、特に連邦政府の組織に対して、セキュリティアップデートをできる限り早急に適用するよう求めている。

 「CISAはあらゆる組織に対し、脆弱性管理プラクティスの一環として、CISAの脆弱性カタログに記載されている脆弱性への早急な対処を最優先課題とすることで、サイバー攻撃のリスクを低減するよう強く求める」(CISA)

 今回追加された36件の脆弱性には、MicrosoftやGoogle、Adobe、Cisco Systems、NETGEAR、QNAP Systemsといった企業のソフトウェアや製品が含まれている。

 Microsoft製品の脆弱性には、「Internet Explorer」(IE)に存在するリモートコード実行(RCE)の脆弱性「CVE-2012-4969」や、「Microsoft Office」に存在する、リモートからの攻撃を可能にするバッファーオーバーフローの脆弱性「CVE-2013-1331」が含まれている。また、「Microsoft Windows」の「Authenticode Signature Verification」機能に存在し、ユーザーの手を借りるかたちでリモートコードの実行を可能にする脆弱性「CVE-2012-0151」もカタログに追加されている。

 CISAの脆弱性カタログには、Googleの「Chrome V8 Engine」に存在する複数の脆弱性も追加されている。これらの脆弱性には、遠隔地からサービス拒否(DoS)攻撃を仕掛けられるようになる「CVE-2016-1646」と「CVE-2016-5198」のほか、パッチが適用されていない環境のネットワークにアクセスするためのコードを遠隔地から実行できるようになる「CVE-2018-17463」や「CVE-2017-5070」などが含まれている。

 さらに、Adobeのソフトウェアに存在する複数の脆弱性もカタログに追加されている。これらの脆弱性には、「Adobe Acrobat」と「Adobe Reader」に存在し、細工を施したPDFファイルを用いることで、遠隔地からコードを実行できるようになる「CVE-2009-4324」のほか、「Adobe Flash Player」に存在し、遠隔地からのコードの実行やDoS攻撃を可能にする「CVE-2010-1297」などが含まれている。

 この他にも、ルーターをはじめとするインターネット接続デバイスに存在する複数の脆弱性も追加されている。これには、NETGEARの複数のデバイスに存在し、認証処理をバイパスしてリモートコードの実行を可能にするバッファーオーバーフローの脆弱性「CVE-2017-6862」や、Ciscoの「Cisco RV」シリーズのルーターに存在し、攻撃者によるルート権限でのコード実行を可能にする「CVE-2019-15271」が含まれている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]