既知の脆弱性10件、積極的な悪用に警戒を - 約10年前の脆弱性も

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、10件の脆弱性について積極的な悪用が確認されているとし、注意を呼びかけている。

「悪用が確認された脆弱性カタログ（KEV）」へ2013年以降に明らかとなった脆弱性10件を追加し、注意喚起を行ったもの。収録された脆弱性は積極的に悪用されており、関連する製品を利用している組織では警戒する必要がある。

2023年に入ってから明らかとなった脆弱性は、Linuxカーネルの「ALSA PCM」パッケージに明らかとなった「Use After Free」の脆弱性「CVE-2023-0266」のみ。他脆弱性は2022年以前に公表されたものとなる。

5件については、2022年に判明した脆弱性。ブラウザ「Chrome」に明らかとなった「CVE-2022-3038」をはじめ、「Cobalt Strike」における「CVE-2022-42948」「CVE-2022-39197」、「Arm Mali GPUカーネルドライバ」に関する「CVE-2022-38181」「CVE-2022-22706」となっている。

このほか、2021年に判明した「iOS」「iPadOS」「macOS」が影響を受ける「CVE-2021-30900」のほか、「Internet Explorer」に関する2件「CVE-2014-1776」「CVE-2013-3163」「SambaCry」とも呼ばれた「Samba」の脆弱性「CVE-2017-7494」なども追加されている。

今回追加された脆弱性は以下のとおり。

CVE-2013-3163（Microsoft Internet Explorer）
CVE-2014-1776（Microsoft Internet Explorer）
CVE-2017-7494（Samba）
CVE-2021-30900（iOS、iPadOS、macOS）
CVE-2022-3038（Google Chrome）
CVE-2022-22706（Arm Mali GPU Kernel Driver）
CVE-2022-38181（Arm Mali GPU Kernel Driver）
CVE-2022-39197（Fortra Cobalt Strike Teamserver）
CVE-2022-42948（Fortra Cobalt Strike User Interface）
CVE-2023-0266（Linux Kernel）

（Security NEXT - 2023/03/31 ） ツイート

PR

関連記事

Google、「Chrome 114」をリリース - 複数の脆弱性を修正
顧客情報がネット上で閲覧可能に - 愛知のCATV局
主要ベンダー製品と連携するXDRを7月に提供 - Cisco
「iTunes for Windows」に複数の脆弱性 - アップデートで修正
雲仙普賢岳の防災システムで情報流出、闇ネット上に - 国交省
電車内で機密文書が盗難被害、その後回収 - 名古屋市美術館
約10万件の迷惑メール - 厚労省のサーバ経由で送信
ネット経由の攻撃リスクを管理する「ASM」の解説資料 - 経産省
障害者支援施設で案内メールを「CC」送信 - 茨城県
Jリーグ会員のメアド含むファイルを誤送信 - モンテディオ山形