米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月15日、「CISA Adds Nine Known Exploited Vulnerabilities to Catalog|CISA」において、新たに9個の脆弱性を「Known Exploited Vulnerabilities Catalog | CISA」に追加すると伝えた。これら脆弱性はサイバー攻撃に頻繁に悪用されていることが確認されており注意が必要。

  • CISA Adds Nine Known Exploited Vulnerabilities to Catalog|CISA

    CISA Adds Nine Known Exploited Vulnerabilities to Catalog | CISA

取り上げられている脆弱性は次のとおり。

CVE番号 CVEタイトル
CVE-2022-24086 Adobe Commerce and Magento Open Source Improper Input Validation Vulnerability
CVE-2022-0609 Google Chrome Use-After-Free Vulnerability
CVE-2019-0752 Microsoft Internet Explorer Type Confusion Vulnerability
CVE-2018-8174 Microsoft Windows VBScript Engine Out-of-Bounds Write Vulnerability
CVE-2018-20250 WinRAR Absolute Path Traversal Vulnerability
CVE-2018-15982 Adobe Flash Player Use-After-Free Vulnerability
CVE-2017-9841 PHPUnit Command Injection Vulnerability
CVE-2014-1761 Microsoft Word Memory Corruption Vulnerability
CVE-2013-3906 Microsoft Graphics Component Memory Corruption Vulnerability

上記のリストに使用している製品が含まれている場合、脆弱性が既にサイバー攻撃に悪用されていることが確認されていることから、該当する製品を使っている場合は迅速にアップデートを適用することが望まれる。

すべてのソフトウェアがアップデートされるわけではないため、広く知られるようになった脆弱性は攻撃者に悪用される傾向が見られる。特に悪用が確認されている脆弱性は、そのリスクを認識するとともに、迅速にアップデートを適用することが望まれる。