米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月4日(米国時間)、「CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に5個の脆弱性を追加したと伝えた。

  • CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA

    CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA

影響を受ける主な製品やサービスは次のとおり。

脆弱性の概要は次のとおり。

CVE番号 脆弱性内容
CVE-2021-1789 A type confusion issue affecting multiple Apple products allows processing of maliciously crafted web content, leading to arbitrary code execution.
CVE-2019-8506 A type confusion issue affecting multiple Apple products allows processing of maliciously crafted web content, leading to arbitrary code execution.
CVE-2014-4113 Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation.
CVE-2014-0322 Use-after-free vulnerability in Microsoft Internet Explorer allows remote attackers to execute code.
CVE-2014-0160 The TLS and DTLS implementations in OpenSSL do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information.

MicrosoftやAppleのプロダクトは広く使われており注意が必要。これらカタログに追加された脆弱性は積極的に悪用が確認されている。該当する製品を使っている場合は、提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。

今回のカタログ追加には2014年に明らかになった、OpenSSLの脆弱性「Heartbleed」が含まれており点にも注意が必要。当時は影響範囲の広さやインパクトの強さなどから注目を集めた脆弱性だが、8年がたった今もサイバー攻撃でアクティブに使われていることが示されたことになる。