「FreeBSD」に重要度「クリティカル」とされる複数の脆弱性
FreeBSDの開発チームは、ハイパーバイザの関連モジュールやIPCフレームワークで利用するライブラリにおいて脆弱性が明らかになったとしてパッチをリリースした。
仮想マシン内でゲストオペレーティングシステムを実行するハイパーバイザ「bhyve」では、脆弱性「CVE-2024-41721」が判明した。
仮想USBコントローラ(XHCI)上のデバイスをエミュレートできるモジュールにおいて域外メモリへの書き込みが可能。脆弱性を悪用されると、ゲストVMよりハイパーバイザのプロセスをクラッシュさせたり、リモートよりホスト上でコードを実行されるおそれがある。
またプロセス間通信(IPC)で利用されているライブラリ「libnv(nvlist)」において、必要サイズよりも小さなバッファが割り当てられ、整数オーバーフローが発生する脆弱性「CVE-2024-45287」が明らかとなった。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「CVE-2024-41721」については「9.8」、「CVE-2024-45287」については「9.1」と評価。ともに重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
開発チームでは現地時間9月19日、脆弱性を修正するパッチをリリース。利用者に注意を呼びかけている。
(Security NEXT - 2024/09/24 )
ツイート
PR
関連記事
近江八幡市のXアカウントが乗っ取り被害 - DMなどに警戒を
子会社サイトが改ざん被害、外部サイトに誘導 - 福岡ひびき信金
笹だんごの通販サイトに不正アクセス - 個人情報流出の可能性
「Apache Airflow」に脆弱性 - 接続情報が漏洩するおそれ
ネットバンク不正送金被害が大幅減 - 平均被害額は高水準
フィッシング報告約19万件 - URLは前月比1割減
先週注目された記事(2025年9月21日〜2025年9月27日)
監視カメラやNASを狙う「Mirai」感染活動を引き続き観測 - JPCERT/CC
「Cisco IOS/IOS XE」に脆弱性 - すでに悪用やPoC公開も
Cisco製FWやOSにクリティカル脆弱性 - すでに攻撃試行も
