米CISAが「脆弱性カタログ」更新 政府機関“お墨付き”の危ない欠陥は：企業が取るべき脆弱性対策【前編】

米国政府機関は、実際に悪用されている脆弱性をカタログにまとめている。一般企業もこのカタログを確認し、適切な対策を取ることが推奨されている。

[Alex Scroxton，TechTarget]

　米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は2022年9月、悪用された脆弱（ぜいじゃく）性をまとめたカタログ「Known Exploited Vulnerabilities Catalogue」に6件の脆弱性を新しく追加した。

CISAが警戒する“危険な脆弱性”は

併せて読みたいお薦め記事

「脆弱性」関連の注目記事

• Microsoft 365メール暗号化に“解読可能”な脆弱性　利用中止でも消えない危険
• Microsoft 365のMFA（多要素認証）を無効化した「AiTM」の危険性とは

　CISAの脆弱性カタログは、サイバー空間に流通する影響力のある脆弱性をまとめており、米国政府機関のセキュリティにおける中心的な役割を担っている。米政府機関はカタログに準拠し、脆弱性に対してパッチ（修正プログラム）を適用する義務がある。政府機関以外の組織にとっても、最新のカタログに準拠することは有益だと言える。

　カタログに新たに追加された脆弱性と、そのCVE（共通脆弱性識別子）は以下の通り。

• CVE-2022-40139：トレンドマイクロのエンドポイントセキュリティ製品「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における、検証不備が原因の脆弱性。標的のサーバで不正なプログラムを動作させるリモートコード実行（RCE）につながる。
• CVE-2013-6282：オープンソースソフトウェア（OSS）のOS「Linux」のカーネルにおける脆弱性。アプリケーションによるカーネルメモリ（保護されたメモリ領域）の読み書きが可能となり、不正な権限昇格につながる。
• CVE-2013-2596：Linuxのカーネルにおける脆弱性。コンピュータが扱える最大値を超える整数を与えることで発生する「整数オーバーフロー」の悪用が可能であり、不正な権限昇格につながる。
• CVE-2013-2094：Linuxのカーネルにおける脆弱性。カーネルが、「attr.config」の命令によってユーザー空間から渡されたデータ型全てが64bitであることをチェックしないことに起因して、不正な権限昇格につながる。
• CVE-2013-2597：Linux FoundationのプロジェクトCode Aurora Forumのドライバ「ACDB Audio Driver」の脆弱性。スタック（メモリの領域）におけるバッファオーバーフローを引き起こし、攻撃者による不正な権限昇格が可能となる。同ドライバはモバイルOS「Android」の搭載端末を含む複数のサードパーティー製品で使用されている。
• CVE-2010-2568：MicrosoftのOS「Windows」の脆弱性。Windowsがショートカットを正しく解析せず、不正なショートカットのアイコンを表示すると、悪意のあるコードが実行される。

　米国政府機関は、2022年10月6日までにこれらの新しい脆弱性に対処するためのパッチを適用する必要がある。他の組織はこのスケジュールに沿う義務はないが、迅速に対処することが推奨される。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。