ニュース
CVSSスコアは9.6と9.8 ChromeとOracle製品の脆弱性がCISAカタログに加わる
Google ChromeとOracle Fusion Middleware Access Managerの脆弱性が「既知の悪用された脆弱性カタログ」に追加された。CVSSスコアはそれぞれ9.6と9.8となっているため、いま一度確認してほしい。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年11月28日(現地時間)、「既知の悪用された脆弱(ぜいじゃく)性カタログ」に新たに2件の脆弱性を追加したと発表した。
追加された2つの脆弱性は、共通脆弱性評価システムCVSSスコア9.6、深刻度「緊急」(Critical)に該当する「Google Chrome」の脆弱性(CVE-2022-4135)と、CVSSスコア9.8、深刻度「緊急」(Critical)に該当する「Oracle Fusion Middleware Access Manager」の脆弱性(CVE-2021-35587)だ。
CVSSスコア9.6と9.8の脆弱性の詳細は?
脆弱性の詳細は以下の通りだ。
- CVE-2022-4135:Google Chrome GPUに存在するヒープバッファオーバーフローの脆弱性。同脆弱性を悪用してレンダラープロセスを侵害したサイバー攻撃者が、リモートから細工したHTMLページを介してサンドボックスを回避する可能性がある
- CVE-2021-35587:ネットワークアクセスが可能なサイバー攻撃者によってHTTP経由でOracle Fusion Middleware Access Managerを乗っ取ることが可能になる脆弱性
これらの脆弱性は既にサイバー攻撃者による悪用が進んでいる。チェックの見落としなども考慮し、カタログに追加された脆弱性については再度確認の上、必要に応じて対処してほしい。
関連記事
- Samsungデバイスのユーザーは要確認を 「既知の悪用された脆弱性カタログ」に7件が追加
既知の悪用された脆弱性カタログに7件の脆弱性が追加された。脆弱性が含まれる製品の中にはSamsungのモバイルデバイスなどもある。詳細を確認の上、迅速に対応してほしい。 - Cisco製品やGIGABYTE製品の脆弱性が新たに追加――既知の悪用された脆弱性カタログ
CISAは「既知の悪用された脆弱性カタログ」に新たに6件の脆弱性を追加した。これらの脆弱性はCisco製品やGIGABYTE製品に含まれるため、該当製品を確認し、必要に応じてアップデートや緩和策を適用してほしい。 - 「既知の悪用された脆弱性カタログ」に2件が追加 Zimbra製品などが対象に
Zimbra Collaborationなどの2個の脆弱性がサイバー攻撃に利用されているとして「既知の悪用された脆弱性カタログ」に追加された。脆弱性の詳細を確認し、必要に応じてアップデートや緩和策の適用が求められる。 - 「既知の悪用された脆弱性カタログ」に1件が追加 Windows LSAの脆弱性でアクティブなサイバー攻撃を確認
CISAは、2022年6月のMicrosoft累積更新プログラムで修正された脆弱性がアクティブにサイバー攻撃に利用されているとし、「既知の悪用された脆弱性カタログ」に追加した。同脆弱性についてはアップデート適用時に注意点があるため併せて確認が必要だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.