2023/08/10 SecurityAffairs −−− 米国 CISA は、.NET/Visual Studio に影響を及ぼすゼロデイ脆弱性 CVE-2023-38180 (CVSS:7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性が悪用されると、サービス運用妨害 (DoS) 状態が引き起こされる可能性があるとして、Microsoft は August 2023 Patch Tuesday で対処している。なお、この脆弱性のあるシステムは、ユーザーの操作なしに悪用可能であり、悪用には権限が不要だと、同社は述べている。
Microsoft は、この脆弱性を悪用した攻撃について、技術的な詳細を公開していない。
この脆弱性は Visual Studio 2022 の 17.2/17.4/17.6、.NET 6.0/7.0、ASP.NET Core 2.1 に影響を及ぼす。
BOD (Binding Operational Directive) 22-01:Reducing the Significant Risk of Known Exploited Vulnerabilities によると、このカタログに記載された脆弱性を悪用する攻撃からネットワークを守るため、FCEB 機関に対しては、指定された期日までに脆弱性に対処することが義務付けられている。それにより、CISA は連邦政府機関に対して、2023年8月30日までに、この欠陥を修正するよう命じている。
なお、専門家たちは、民間組織もカタログを見直し、インフラの脆弱性に対処するよう推奨している。
文中にもあるように、この .NET/Visual Studio のゼロデイ脆弱性 CVE-2023-38180 は、2023年8月の Patch Tuesday で対処されています。詳しくは、2023/08/08 の「Microsoft 2023-08 月例アップデート:2件のゼロデイと 87件の脆弱性に対応」を、ご参照ください。
You must be logged in to post a comment.