米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は6月14日(米国時間)、「CISA Adds One Known Exploited Vulnerability to Catalog |CISA」において、「Known Exploited Vulnerabilities Catalog」に脆弱性を追加したと伝えた。この脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。

  • CISA Adds One Known Exploited Vulnerability to Catalog |CISA

    CISA Adds One Known Exploited Vulnerability to Catalog |CISA

影響を受ける主な製品やサービスは次のとおり。

脆弱性の主な内容は次のとおり。

CVE番号 脆弱性内容
CVE-2022-30190 A remote code execution vulnerability exists when MSDT is called using the URL protocol from a calling application such as Word. An attacker who successfully exploits this vulnerability can run code with the privileges of the calling application.

今回カタログに追加された脆弱性は最近話題になったもの。すでに詳細が明らかになっており、こうした脆弱性はサイバー犯罪者によって悪用されやすい。脆弱性は発表されると直ちに内容を確認するとともに、適切に緩和策の適用やアップデートの適用を実施することが望まれる。