CVSSスコアは9.6と9.8 ChromeとOracle製品の脆弱性がCISAカタログに加わる

Google ChromeとOracle Fusion Middleware Access Managerの脆弱性が「既知の悪用された脆弱性カタログ」に追加された。CVSSスコアはそれぞれ9.6と9.8となっているため、いま一度確認してほしい。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2022年11月28日（現地時間）、「既知の悪用された脆弱（ぜいじゃく）性カタログ」に新たに2件の脆弱性を追加したと発表した。

　追加された2つの脆弱性は、共通脆弱性評価システムCVSSスコア9.6、深刻度「緊急」（Critical）に該当する「Google Chrome」の脆弱性（CVE-2022-4135）と、CVSSスコア9.8、深刻度「緊急」（Critical）に該当する「Oracle Fusion Middleware Access Manager」の脆弱性（CVE-2021-35587）だ。

CISAは「既知の悪用された脆弱性カタログ」に2件の脆弱性を追加した（出典：CISAのWebサイト）

CVSSスコア9.6と9.8の脆弱性の詳細は？

　脆弱性の詳細は以下の通りだ。

• CVE-2022-4135：Google Chrome GPUに存在するヒープバッファオーバーフローの脆弱性。同脆弱性を悪用してレンダラープロセスを侵害したサイバー攻撃者が、リモートから細工したHTMLページを介してサンドボックスを回避する可能性がある
• CVE-2021-35587：ネットワークアクセスが可能なサイバー攻撃者によってHTTP経由でOracle Fusion Middleware Access Managerを乗っ取ることが可能になる脆弱性

　これらの脆弱性は既にサイバー攻撃者による悪用が進んでいる。チェックの見落としなども考慮し、カタログに追加された脆弱性については再度確認の上、必要に応じて対処してほしい。