2024/07/24 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、以下の脆弱性を Known Exploited Vulnerabilities(KEV)カタログに追加した:
- CVE-2012-4792:Microsoft Internet Explorer の Use-After-Free 脆弱性
- CVE-2024-39891:Twilio Authy 情報漏洩の脆弱性
以下は、KEV カタログに追加された2つの脆弱性の説明である:
CVE-2012-4792 (CVSS:9.3):Microsoft Internet Explorer 6〜8 に存在する use-after-free の脆弱性である。この脆弱性の悪用に成功したリモートの攻撃者は、2012年12月に悪用され CDwnBindInfo オブジェクトが示すように、細工を施された Web サイトを介して、(1) 適切に割り当てられていなオブジェクト、もしくは、(2) 削除されているオブジェクトへの、アクセスをトリガーとする任意のコード実行を可能にする。
CVE-2024-39891 (CVSS:5.3):Twilio Authy における、情報漏洩の脆弱性である。Authy Android 25.1.0 以前のおよび、Authy iOS 26.1.0 以前によりアクセスされる Twilio Authy API において、認証されていないエンドポイントから、特定の電話番号データへのアクセスが提供されるものであり、2024年6月の時点で野放し状態での悪用が観測されている。それらのエンドポイントにより受診された電話番号が、Authy に登録されているかどうかを示す情報を返すという、バグが発見されている。重要なことは、このエンドポイントは登録状況を確認するものであり、Authy アカウント自身を侵害するものではなかったことである。
BOD(Binding Operational Directive)22-01によると、このカタログの欠陥を悪用した攻撃からネットワークを保護するために、FCEB 機関は特定された期日までに対処する必要がある。CISA は連邦政府機関に対して、2024年8月13日までに、この2件の脆弱性を修正するよう命じている。
また、専門家たちが民間組織に推奨するのは、このカタログを見直し、インフラの脆弱性に対処することである。
Internet Explorer と Twilio Authy の脆弱性が、CISA の KEV に登録されました。それぞれのインシデントとして、このところ気になっているのは、2024/07/09 の「Windows の脆弱性 CVE-2024-38112:悪意の “.url” を IE に開かせる可能性」と、2024/07/03 の「Twilio Authy の API に脆弱性:3,300万件の電話番号を含むユーザー情報が流出」ですが、ちょっと違うようです。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.