米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月9日(米国時間)、「CISA Adds Two Known Exploited Vulnerabilities to Catalog |CISA」において、「Known Exploited Vulnerabilities Catalog」に脆弱性を追加したと伝えた。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2022-34713 Microsoft - Windows
- CVE-2022-30333 RARLAB - UnRAR
脆弱性の主な内容は次のとおり。
CVE番号 | 脆弱性内容 |
---|---|
CVE-2022-34713 | A remote code execution vulnerability exists when Microsoft Windows MSDT is called using the URL protocol from a calling application. |
CVE-2022-30333 | RARLAB UnRAR on Linux and UNIX contains a directory traversal vulnerability, allowing an attacker to write to files during an extract (unpack) operation. |
カタログに追加された脆弱性は積極的に悪用が確認されている点に注意が必要。該当する製品を使っている場合は、提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。
なお、Windowsの脆弱性は2022年8月の累積更新プログラムにおける修正対象になっている。該当するWindowsを使用している場合、迅速にアップデートを適用することが望まれる。