CISA orders agencies to patch exploited Google Chrome bug by Dec 26th
2022/12/05 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃での悪用が確認されているバグのリストに、新たな脆弱性を追加した。この脆弱性 CVE-2022-4262 は、Google Chrome for Windows/Mac/Linux に存在するものであり、12月2日にゼロデイバグとしてパッチが適用されたものだ。そのセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2022-4262 が、野放し状態で悪用されているという報告を確認している」と述べている。
これで、今年の Google がパッチ適用した、サーバー攻撃で悪用された Chrome ゼロデイは9回目となった。
このバグは、Google Threat Analysis Group の Clement Lecigne が報告した、Chromium V8 JavaScript エンジンにおける深刻なタイプコンフュージョンに起因するものだ。
一般的に、タイプコンフュージョンの脆弱性では、バッファ境界外のメモリの読み書きによりクラッシュにつながるが、攻撃者は、その悪用に成功した攻撃者が、任意のコードを実行する可能性も生じる。
同社は、「多くのユーザーが修正プログラムを適用するまで、バグの詳細やリンクへのアクセスが制限される可能性がある。また、他のプロジェクトが依存しているサードパーティのライブラリに、存在するバグが修正されていない場合にも、制限を保持する予定だ」と述べている。
3週間以内でのパッチ適用が連邦政府機関に指示された
2021年11月に施行された、拘束力のある運用指令 (BOD 22-01) によると、すべての連邦民間行政機関 (FCEB) は、CIS Aが提示したスケジュールに従って、このバグに対してパッチ適用する必要がある。したがって 12月26日までの3週間で、脆弱性のある Chrome にパッチを適用し、悪用を阻止することが求められている。
なお、BOD 22-01 は米国の FCEB 機関にのみに適用されるが、民間および公共のすべての米国内の組織に対して、この活発に悪用されているバグへのパッチを優先するよう、CISA は強く要請している。
このアドバイスへの対応が進めば、脅威アクターがネットワークに侵入しようとする際の、攻撃対象領域を減らすことができる。
CISA は、「この種の脆弱性は、あらゆる種類のサイバー攻撃者が頻繁に利用する攻撃経路であり、連邦政府の企業にとって大きなリスクとなる」と説明している。
この拘束力のある指令が出されて以来、CISA は数百ものセキュリティ・バグを Known Exploited Vulnerabilities カタログに追加し、潜在的なセキュリティ侵害を阻止するために、可能な限り早急にパッチを当てるよう、米国連邦機関に命令している。
12月2日の「Google Chrome の深刻なゼロデイ CVE-2022-4262 が FIX:V8 JavaScript に問題」でお伝えした、CVE-2022-4262 が CISA KEV リストに追加されました。このゼロデイ脆弱性は、Chrome V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因するものであり、バッファ境界外のメモリを読み書きを可能にし、ブラウザのクラッシュを引き起こすとされています。また、任意のコード実行にいたる可能性もあるとのことです。よろしければ、CISA KEV で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.