米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月4日(米国時間)、「CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に5個の脆弱性を追加したと伝えた。
-
CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA
影響を受ける主な製品やサービスは次のとおり。
- CVE-2021-1789 Apple - 複数の製品
- CVE-2019-8506 Apple - 複数の製品
- CVE-2014-4113 Microsoft - Win32k
- CVE-2014-0322 Microsoft - Internet Explorer
- CVE-2014-0160 OpenSSL - OpenSSL
脆弱性の概要は次のとおり。
| CVE番号 | 脆弱性内容 |
|---|---|
| CVE-2021-1789 | A type confusion issue affecting multiple Apple products allows processing of maliciously crafted web content, leading to arbitrary code execution. |
| CVE-2019-8506 | A type confusion issue affecting multiple Apple products allows processing of maliciously crafted web content, leading to arbitrary code execution. |
| CVE-2014-4113 | Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation. |
| CVE-2014-0322 | Use-after-free vulnerability in Microsoft Internet Explorer allows remote attackers to execute code. |
| CVE-2014-0160 | The TLS and DTLS implementations in OpenSSL do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information. |
MicrosoftやAppleのプロダクトは広く使われており注意が必要。これらカタログに追加された脆弱性は積極的に悪用が確認されている。該当する製品を使っている場合は、提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。
今回のカタログ追加には2014年に明らかになった、OpenSSLの脆弱性「Heartbleed」が含まれており点にも注意が必要。当時は影響範囲の広さやインパクトの強さなどから注目を集めた脆弱性だが、8年がたった今もサイバー攻撃でアクティブに使われていることが示されたことになる。
