4月のMS月例パッチで修正された脆弱性が攻撃の標的に - 米当局が注意喚起
マイクロソフトが4月の月例セキュリティ更新で修正した「SmartScreenプロンプト」の脆弱性「CVE-2024-29988」がサイバー攻撃の標的となっている。他脆弱性と組み合わせて悪用されているとして、米当局が注意を呼びかけた。
「CVE-2024-29988」は、「SmartScreenプロンプト」に明らかとなった脆弱性。インターネットからダウンロードしたファイルに付与され、ファイルを開く際に信頼できるか判断するために使用される「Mark of the Web(MotW)」機能のバイパスが可能となる。
悪用にあたっては、細工したファイルを開かせる必要があり、重要度は4段階中、上から2番目にあたる「重要(Important)」、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。2024年4月の月例セキュリティ更新で修正された。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間4月30日、既知の他脆弱性と組み合わせ悪用されているとして、同脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加し、注意を呼びかけた。
ファイルの圧縮や解凍などに用いられるアーカイバ「WinRAR」において任意のコードを実行されるおそれがある脆弱性「CVE-2023-38831」や、「Windows」の「インターネットショートカットファイル」の処理に明らかとなった「CVE-2024-21412」とともに悪用されているという。
(Security NEXT - 2024/05/01 )
ツイート
関連リンク
PR
関連記事
悪用脆弱性リストに医療データ連携ソフト関連など2件が登録 - 今月5度目の追加
個人情報含む添付書類を紛失 - 瑞浪市消防本部
関係者の個人情報含むファイルをメールに誤添付 - 日本学術振興会
戸籍謄抄本等交付申請書を紛失、保存箱に誤った廃棄時期ラベル - 神戸市
ルータやブラウザなど悪用済み脆弱性3件に注意喚起 - 米当局
ペットフード通販サイトの顧客情報が窃取被害 - 一部データの消去も
フィッシング報告数が再び10万件超に - 目立つ料金督促の偽装
先週注目された記事(2024年5月12日〜2024年5月18日)
「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み
Fortinetの「FortiOS」に複数脆弱性 - 重要度は「中」