Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米当局、Qualcomm製チップやApple製品の脆弱性狙う攻撃に注意喚起

米当局は、Qualcomm製のチップやApple製品などが影響を受ける脆弱性が悪用されているとして注意喚起を行った。

「悪用が確認された脆弱性カタログ(KEV)」へあわせて6件の脆弱性を追加したもの。すでに悪用されていることが判明しているため利用者は注意が必要で、米行政機関などでは一定期間内に対応する義務が生じる。

Qualcomm製の複数チップセットが影響を受ける脆弱性については、現地時間12月5日に「CVE-2023-33106」「CVE-2023-33107」「CVE-2023-33063」「CVE-2022-22071」の4件が同リストへ追加された。

Qualcommでは、Googleよりこれら脆弱性が悪用されているとの報告を受けたことを10月のセキュリティアドバイザリで明らかにしていた。「CVE-2022-22071」は2022年5月にパッチをリリース済み。のこる3件についてもパッチをリリースし、12月のセキュリティアドバイザリで詳細を公表している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、画像処理に明らかとなった「CVE-2023-33106」「CVE-2023-33107」が「8.4」、DSPドライバに判明した「CVE-2023-33063」は「7.8」となっている。

車載向けAndroidに判明した「CVE-2022-22071」については「8.4」と評価。いずれも重要度は4段階中、上から2番目にあたる「高(High)」とレーティングしている。

(Security NEXT - 2023/12/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
ランサムウェア被害のイズミ、完全復旧目標は5月1日
イズミ、ランサム被害で宅配など一部サービスを停止 - 新店舗オープンを延期
サイクリングイベント申込フォームでミス、個人情報が流出 - 倉敷市
コンテスト入賞作品を撤収中に紛失、その後返還 - 鳥取県
事務連絡メールに7468人分の個人情報含む送付先一覧を誤添付 - 大阪市
受講システムで受講者の情報閲覧権限に設定ミス - ラック
行政文書ファイル1冊が所在不明、匿名通報で発覚 - 関東財務局
転職による年収アップ、「セキュリティエンジニア」がトップ
クラウド管理製品「VMware Aria Operations」に権限昇格の脆弱性