既知の脆弱性10件、積極的な悪用に警戒を - 約10年前の脆弱性も

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、10件の脆弱性について積極的な悪用が確認されているとし、注意を呼びかけている。

「悪用が確認された脆弱性カタログ（KEV）」へ2013年以降に明らかとなった脆弱性10件を追加し、注意喚起を行ったもの。収録された脆弱性は積極的に悪用されており、関連する製品を利用している組織では警戒する必要がある。

2023年に入ってから明らかとなった脆弱性は、Linuxカーネルの「ALSA PCM」パッケージに明らかとなった「Use After Free」の脆弱性「CVE-2023-0266」のみ。他脆弱性は2022年以前に公表されたものとなる。

5件については、2022年に判明した脆弱性。ブラウザ「Chrome」に明らかとなった「CVE-2022-3038」をはじめ、「Cobalt Strike」における「CVE-2022-42948」「CVE-2022-39197」、「Arm Mali GPUカーネルドライバ」に関する「CVE-2022-38181」「CVE-2022-22706」となっている。

このほか、2021年に判明した「iOS」「iPadOS」「macOS」が影響を受ける「CVE-2021-30900」のほか、「Internet Explorer」に関する2件「CVE-2014-1776」「CVE-2013-3163」「SambaCry」とも呼ばれた「Samba」の脆弱性「CVE-2017-7494」なども追加されている。

今回追加された脆弱性は以下のとおり。

CVE-2013-3163（Microsoft Internet Explorer）
CVE-2014-1776（Microsoft Internet Explorer）
CVE-2017-7494（Samba）
CVE-2021-30900（iOS、iPadOS、macOS）
CVE-2022-3038（Google Chrome）
CVE-2022-22706（Arm Mali GPU Kernel Driver）
CVE-2022-38181（Arm Mali GPU Kernel Driver）
CVE-2022-39197（Fortra Cobalt Strike Teamserver）
CVE-2022-42948（Fortra Cobalt Strike User Interface）
CVE-2023-0266（Linux Kernel）

（Security NEXT - 2023/03/31 ） ツイート

PR

関連記事

国立医薬品食品衛生研究所でフィッシング被害 - さらなる攻撃の踏み台に
広く利用されるVSCode拡張機能「Live Server」に脆弱性 - 未修正状態続く
OpenText製品向けID統合基盤「OTDS」に脆弱性 - 修正版を公開
米当局、「Dell RP4VMs」や「GitLab」の脆弱性悪用に注意喚起
「Chrome」にセキュリティアップデート - 今月4度目の脆弱性対応
米国拠点でメルアカに不正アクセス - アダルトグッズメーカー
サイトが改ざん被害、無関係ページで不自然なアクセス増 - 藤田鍍金
理工学部でSSD紛失、内部に調査で取得した個人情報 - 慶大
JALシステム障害、原因はデータ誤消去 - 発覚おそれログ改ざん
DellのVM環境向け復旧製品にゼロデイ脆弱性 - 悪用報告も