Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Google Pixel」や「SureLine OS」の脆弱性悪用に注意喚起 - 米当局

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間3月5日、悪用が確認された脆弱性2件を「悪用が確認された脆弱性カタログ(KEV)」へ登録し、注意を呼びかけた。

具体的には、Googleが提供するAndroid搭載スマートフォン「Google Pixel」において明らかとなっているフレームワークコンポーネントの脆弱性「CVE-2023-21237」を追加した。

脆弱性を悪用されると、ユーザーインタフェースにおいて誤解を与える表示を行ったり、通知の隠蔽などが行われるおそれがある。米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.5」、重要度は「中(Medium)」。

またSunhilloのネットワーク機器が搭載する「SureLine OS」に判明したOSコマンドインジェクションの脆弱性「CVE-2021-36380」についても悪用されている。「NVD」における共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。

同リストに追加された脆弱性は、悪用を防止するため米行政機関では一定期間内に対応することが求められる。また脆弱性そのものは広く悪用されるおそれがあり、対象製品の利用者は注意が必要となる。

(Security NEXT - 2024/03/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
米政府、Apple製品や「Junos OS」の脆弱性悪用に注意喚起
米当局、Windowsに対するゼロデイ攻撃に注意喚起
「Ivanti EPM」「VeraCore」が脆弱性攻撃の標的に - 米当局が注意喚起
米当局、2月は悪用済み脆弱性27件について注意喚起
米当局、Linuxカーネルや「VMware ESXi」の脆弱性悪用に注意喚起
「WhatsUp Gold」など悪用される脆弱性5件を注意喚起 - 米当局
「Craft CMS」や「PAN-OS」が脆弱性攻撃の標的に - 米当局が注意喚起