米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月30日(米国時間)、「CISA Adds Ten Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に新しく10個のセキュリティ脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。

CISA Adds Ten Known Exploited Vulnerabilities to Catalog|CISA

影響を受ける主な製品やサービスは次のとおり。

CVE-2013-3163 Microsoft - Internet Explorer

CVE-2014-1776 Microsoft - Internet Explorer

CVE-2017-7494 Samba - Samba

CVE-2022-42948 Fortra - Cobalt Strike

CVE-2022-39197 Fortra - Cobalt Strike

CVE-2021-30900 Apple - iOS, iPadOS, and macOS

CVE-2022-38181 Arm - Mali Graphics Processing Unit (GPU)

CVE-2023-0266 Linux - Kernel

CVE-2022-3038 Google - Chrome

CVE-2022-22706 Arm - Mali Graphics Processing Unit (GPU)

脆弱性の主な内容は次のとおり。

今回カタログに追加された脆弱性は、Microsoft IEに関するものが最も古く2013年に発行されたものとなっている。カタログにはアクティブに悪用されている脆弱性が追加される仕組みになっており、脆弱性自体は古いものが含まれることもある。

長期にわたって使っている製品がこうした脆弱性を抱えたままになっていることもあるため、カタログに追加された製品に関しては再度情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。