米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月14日(米国時間)、「CISA Adds Four Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に4個の脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。

  • CISA Adds Four Known Exploited Vulnerabilities to Catalog|CISA

    CISA Adds Four Known Exploited Vulnerabilities to Catalog|CISA

影響を受ける主な製品やサービスは次のとおり。

脆弱性の主な内容は次のとおり。

CVE番号 脆弱性内容
CVE-2023-21715 Microsoft Officeにおける認証ユーザーによるセキュリティ機能回避の脆弱性
CVE-2023-23376 Microsoft Windows Common Log File System (CLFS)ドライバにおける特権昇格の脆弱性
CVE-2023-23529 Apple iOS、MacOS、Safari、iPadOSで使われているWebKitにおけるコード実行の脆弱性
CVE-2023-21823 Microsoft Windows Graphic Componentにおける特権昇格の脆弱性

今回カタログに追加された脆弱性は、コンシューマーおよびエンタープライズの双方において大きなシェアを持っている点に注意が必要。そのため、影響を与える範囲が広い上にアクティブな攻撃が確認されている点が懸念される。該当する製品を使用している場合は、ただちに情報を確認するとともに、迅速にアップデートを適用することが望まれる。