米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月12日(米国時間)、「CISA Adds Two Known Vulnerabilities to Catalog|CISA」において、カタログに新しく2個の脆弱性を追加したと報じた。
追加された脆弱性情報は次のとおり。
- Microsoft Word (CVE-2023-36761)
- Microsoft Streaming Service Proxy (CVE-2023-36802)
どちらも2023年9月のMicrosoft累積更新プログラムでセキュリティアップデートの対象となっている。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3.1のスコア値はそれぞれ6.2と7.8、深刻度はそれぞれMicrosoft Wordが「警告」、Microsoft Streaming Service Proxyが「重要」となっている。
Microsoft Wordの脆弱性は情報漏えいを引き起こす可能性がある脆弱性とされている。深刻度は共通脆弱性評価システムスコア値6.2とそれほど高くないものの、CISAのカタログに追加されたことから注意が必要。前述したように、カタログに追加された脆弱性はすでに悪用されていることが確認されている。
今回カタログに追加された脆弱性はMicrosoftの2023年9月の累積更新プログラムでアップデート対象になっている。該当する製品を使用している場合は、Windows Updateを適用するなどして迅速にアップデートを適用することが望まれる。