2025/12/13 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium および Sierra Wireless AirLink ALEOS の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。
カタログに登録された脆弱性は以下のとおりだ:
- CVE-2025-14174:Google Chromium の境界外メモリアクセスの欠陥
- CVE-2018-4063:Sierra Wireless の危険なファイル・アップロードの欠陥
CVE-2025-14174:Google Chrome for Mac のバージョン 143.0.7499.110 以下に含まれる、ANGLE における境界外メモリ・アクセスの脆弱性である。この脆弱性を悪用するリモートの攻撃者は、細工した HTML ページを介して、境界外メモリ・アクセスを実行できる。
今週、Google がリリースしたのは、Chrome ブラウザに存在する3つの脆弱性を修正するセキュリティ・アップデートである。同アップデートには、この深刻度の高い欠陥も含まれており、すでに脅威アクターが実環境の攻撃で悪用していると記されている。
Google が公開したアドバイザリには、「この脆弱性のエクスプロイトが実際に存在することを認識している」と記載されている。
Google は、この深刻度の高い脆弱性を Chromium の問題 466192044 として追跡していたが、このバグに関する技術的な詳細は公開していなかった。しかし、関連する GitHub コミットによると、この問題は ANGLE グラフィック・ライブラリーに、具体的には Metal レンダラーに存在していることが明らかになっている。
このバグは、GL_UNPACK_IMAGE_HEIGHT から得られる pixelsDepthPitch を使用して、バッファ・サイズを算出していたことに起因する。この値が実際の画像の高さよりも小さくなる場合に、バッファ・オーバーフローが発生し、メモリ破損/クラッシュ/任意コード実行につながる可能性がある。
CVE-2018-4063:Sierra Wireless AirLink ES450 FW 4.9.3 の “upload.cgi” コンポーネントに影響を与えるリモート・コード実行の脆弱性である。認証された攻撃者は、細工した HTTP リクエストを送信することで、対象デバイスの Web サイト上に悪意のあるコードをアップロードし、実行することが可能である。
拘束的運用指令 (BOD) 22-01:既知の悪用された脆弱性による深刻なリスクの低減が、FCEB 機関に対して求められている。KEV カタログに記載された脆弱性を悪用する攻撃から、ネットワークを保護するため、指定された期限までに特定された脆弱性に対処する必要がある。CISA は、連邦政府機関に対し、2026年1月2日までに、これらの脆弱性を修正するよう命じている。
専門家たちが民間組織に対しても推奨するのは、このカタログを確認し、自社のインフラ内に存在する脆弱性へ対処することだ。
特に注目されている Google Chromium の脆弱性 CVE-2025-14174 ですが、この問題の根本的な原因は、グラフィック処理を行うライブラリ内での計算の誤りにあります。この脆弱性が悪用されると、用意された領域を超えてデータが書き込まれてしまう、境界外メモリ・アクセスが発生します。それにより、メモリの破損やプログラムの異常終了、さらには悪意のあるコードの実行といった深刻な事態を招くとされます。ご利用のチームは、ご注意ください。よろしければ、Chromium での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.