米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は6月27日(米国時間)、「CISA Adds Eight Known Exploited Vulnerabilities to Catalog  |CISA」において、「Known Exploited Vulnerabilities Catalog」に8個の脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。

  • CISA Adds Eight Known Exploited Vulnerabilities to Catalog  |CISA

    CISA Adds Eight Known Exploited Vulnerabilities to Catalog  |CISA

影響を受ける主な製品やサービスは次のとおり。

脆弱性の主な内容は次のとおり。

CVE番号 脆弱性内容
CVE-2022-29499 The Service Appliance component in Mitel MiVoice Connect allows remote code execution due to incorrect data validation.
CVE-2021-30533 Insufficient policy enforcement in the PopupBlocker for Chromium allows an attacker to remotely bypass security mechanisms. This vulnerability impacts web browsers using Chromium such as Chrome and Edge.
CVE-2021-4034 The Red Hat polkit pkexec utility contains an out-of-bounds read and write vulnerability which allows for privilege escalation with administrative rights.
CVE-2021-30983 Apple iOS and iPadOS contain a buffer overflow vulnerability that could allow an application to execute code with kernel privileges.
CVE-2020-3837 Apple iOS, iPadOS, macOS, tvOS, and watchOS contain a memory corruption vulnerability that could allow an application to execute code with kernel privileges.
CVE-2020-9907 Apple iOS, iPadOS, and tvOS contain a memory corruption vulnerability that could allow an application to execute code with kernel privileges.
CVE-2019-8605 A use-after-free vulnerability in Apple iOS, macOS, tvOS, and watchOS could allow a malicious application to execute code with system privileges.
CVE-2018-4344 Apple iOS, macOS, tvOS, and watchOS contain a memory corruption vulnerability which can allow for code execution.

今回カタログに追加された脆弱性は、最も古いもので2018年に発行されたものが含まれている。カタログにはアクティブに悪用されている脆弱性が追加される仕組みになっており、脆弱性自体は古いものが含まれることも多い。

長期にわたって使っている製品がこうした脆弱性を抱えたままになっていることもあるため、カタログに追加された製品に関しては再度情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。