米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月14日(米国時間)、「CISA Adds Four Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に4個の脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2023-21715 Microsoft - Office
- CVE-2023-23376 Microsoft - Windows
- CVE-2023-23529 Apple - 複数の製品
- CVE-2023-21823 Microsoft - Windows
脆弱性の主な内容は次のとおり。
CVE番号 | 脆弱性内容 |
---|---|
CVE-2023-21715 | Microsoft Officeにおける認証ユーザーによるセキュリティ機能回避の脆弱性 |
CVE-2023-23376 | Microsoft Windows Common Log File System (CLFS)ドライバにおける特権昇格の脆弱性 |
CVE-2023-23529 | Apple iOS、MacOS、Safari、iPadOSで使われているWebKitにおけるコード実行の脆弱性 |
CVE-2023-21823 | Microsoft Windows Graphic Componentにおける特権昇格の脆弱性 |
今回カタログに追加された脆弱性は、コンシューマーおよびエンタープライズの双方において大きなシェアを持っている点に注意が必要。そのため、影響を与える範囲が広い上にアクティブな攻撃が確認されている点が懸念される。該当する製品を使用している場合は、ただちに情報を確認するとともに、迅速にアップデートを適用することが望まれる。