Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、積極的な悪用が確認されているとして現地時間5月19日に3件の脆弱性を「悪用が確認された脆弱性カタログ(KEV)」に追加した。

同リストに追加された脆弱性は、米行政機関において一定期間内に対応する義務が課されている。一方、脆弱性そのものは広く悪用されるおそれがあり、CISAでは対象機関に限らず、すべての組織に対して注意を呼びかけている。

具体的には、「Android 13」「同12」「同11」を搭載したSamsung製のモバイル端末が影響を受ける脆弱性「CVE-2023-21492」を追加した。

ログへ機密情報が流出する脆弱性で、攻撃者がローカル環境の権限を持っている場合、参照した情報を用いてメモリ保護のセキュリティ対策をバイパスすることが可能となる。

Samsungでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「4.4」、重要度を「中(Moderate)」とレーティング。5月の「月例セキュリティメンテナンスリリース(SMR)」を通じて他脆弱性とともに同脆弱性へ対処していた。

(Security NEXT - 2023/05/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

医師や歯科医師の資格情報確認システムで一部未登録
採用イベント参加学生向けのメールで送信ミス - 日本郵船
委託先がメール誤送信、講座受講生のメアド流出 - 滋賀県
任意精度演算のnpmパッケージがマルウェア汚染
公開議事録の墨塗りに不備、個人情報参照可能に - 羽曳野市
UCCグループの業務用食材通販サイトが侵害被害
エンカレッジ製のUNIX/Linux向け証跡記録ソフトに脆弱性
Google、「Chrome 114」をリリース - 複数の脆弱性を修正
顧客情報がネット上で閲覧可能に - 愛知のCATV局
主要ベンダー製品と連携するXDRを7月に提供 - Cisco