米CISAが「脆弱性カタログ」更新 政府機関“お墨付き”の危ない欠陥は企業が取るべき脆弱性対策【前編】

米国政府機関は、実際に悪用されている脆弱性をカタログにまとめている。一般企業もこのカタログを確認し、適切な対策を取ることが推奨されている。

2022年11月25日 05時00分 公開
[Alex ScroxtonTechTarget]

 米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は2022年9月、悪用された脆弱(ぜいじゃく)性をまとめたカタログ「Known Exploited Vulnerabilities Catalogue」に6件の脆弱性を新しく追加した。

CISAが警戒する“危険な脆弱性”は

 CISAの脆弱性カタログは、サイバー空間に流通する影響力のある脆弱性をまとめており、米国政府機関のセキュリティにおける中心的な役割を担っている。米政府機関はカタログに準拠し、脆弱性に対してパッチ(修正プログラム)を適用する義務がある。政府機関以外の組織にとっても、最新のカタログに準拠することは有益だと言える。

 カタログに新たに追加された脆弱性と、そのCVE(共通脆弱性識別子)は以下の通り。

  • CVE-2022-40139:トレンドマイクロのエンドポイントセキュリティ製品「Trend Micro Apex One」および「Trend Micro Apex One SaaS」における、検証不備が原因の脆弱性。標的のサーバで不正なプログラムを動作させるリモートコード実行(RCE)につながる。
  • CVE-2013-6282:オープンソースソフトウェア(OSS)のOS「Linux」のカーネルにおける脆弱性。アプリケーションによるカーネルメモリ(保護されたメモリ領域)の読み書きが可能となり、不正な権限昇格につながる。
  • CVE-2013-2596:Linuxのカーネルにおける脆弱性。コンピュータが扱える最大値を超える整数を与えることで発生する「整数オーバーフロー」の悪用が可能であり、不正な権限昇格につながる。
  • CVE-2013-2094:Linuxのカーネルにおける脆弱性。カーネルが、「attr.config」の命令によってユーザー空間から渡されたデータ型全てが64bitであることをチェックしないことに起因して、不正な権限昇格につながる。
  • CVE-2013-2597:Linux FoundationのプロジェクトCode Aurora Forumのドライバ「ACDB Audio Driver」の脆弱性。スタック(メモリの領域)におけるバッファオーバーフローを引き起こし、攻撃者による不正な権限昇格が可能となる。同ドライバはモバイルOS「Android」の搭載端末を含む複数のサードパーティー製品で使用されている。
  • CVE-2010-2568:MicrosoftのOS「Windows」の脆弱性。Windowsがショートカットを正しく解析せず、不正なショートカットのアイコンを表示すると、悪意のあるコードが実行される。

 米国政府機関は、2022年10月6日までにこれらの新しい脆弱性に対処するためのパッチを適用する必要がある。他の組織はこのスケジュールに沿う義務はないが、迅速に対処することが推奨される。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news131.jpg

メッシやベリンガム、ヴィルツも登場 アディダスが世界で展開する豪華過ぎるサッカー推しキャンペーンの中身
Adidasが夏のサッカーシーズンに向けて新キャンペーンを世界各地で展開する。デビッド・...

news058.jpg

Web広告施策に課題を感じている企業は9割以上――リンクアンドパートナーズ調査
企業のWeb広告施策を推進している担当者約500人を対象に、課題と今後の取り組みについて...

news183.jpg

TikTokマーケティングの最適解へ スパイスボックスが縦型動画クリエイター集団M2DKと業務提携
スパイスボックスが縦型動画クリエイター集団であるM2DKと業務提携。生活者に向けて訴求...