CISA

Cybersecurity and Infrastructure Security Agency (CISA) は、攻撃で悪用されることが知られているバグのリストに、セキュリティ上の脆弱性を 1 つ追加しました。

脆弱性 (CVE-2022-4262 として追跡) は、金曜日に Windows、Mac、および Linux ユーザー向けに、Google Chrome Web ブラウザーで活発に悪用されているゼロデイ バグとしてパッチが適用されました。

週末直前に公開されたセキュリティ アドバイザリで、Google は「CVE-2022-4262 のエクスプロイトが実際に存在するという報告を認識している」と述べました。

これは、Google が今年の初めにパッチを適用した、実際に悪用された Chrome のゼロデイ攻撃で 9 件目です。

このバグは、Google の Threat Analysis Group の Clement Lecigne によって報告された Chromium V8 JavaScript エンジンの重大度の高いタイプの混乱の脆弱性によって引き起こされます。

型混同の欠陥は、通常、バッファ境界外でメモリの読み取りまたは書き込みを行うことでエクスプロイトが成功するとブラウザのクラッシュにつながりますが、攻撃者はそれらを悪用して任意のコードを実行することもできます。

同社は、このゼロデイを悪用する攻撃を検出したと述べていますが、技術的な詳細やこれらのインシデントに関する情報をまだ共有していないため、影響を受けるすべてのシステムにセキュリティ更新プログラムを展開し、ユーザーがブラウザをアップグレードするのに十分な時間を提供することができます。攻撃者は独自の CVE-2022-4262 エクスプロイトを開発しています。

連邦政府機関は、今後 3 週間以内にパッチを適用するよう命じました

2021 年 11 月の拘束力のある運用指令 (BOD 22-01)によると、すべての連邦民間行政機関 (FCEB) 機関は、CISA が提供するタイムラインに従って、このバグに対してシステムにパッチを適用する必要があります。

彼らは 12 月 26 日までの 3 週間を与えられ、システムにインストールされているすべての脆弱な Chrome にパッチを適用して、進行中の悪用の試みが確実にブロックされるようにしました。

BOD 22-01 指令は米国の FCEB 機関にのみ適用されますが、DHS サイバーセキュリティ機関は、民間部門と公共部門の両方の米国のすべての組織に対して、この活発に悪用されているバグへのパッチ適用を優先するよう強く要請しました。

このアドバイスを心に留めておけば、攻撃者が政府機関のネットワークを侵害しようとして悪用できる攻撃面を減らすことができます。

「これらのタイプの脆弱性は、あらゆるタイプの悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と、米国のサイバーセキュリティ機関は説明しています。

拘束力のある指令が発行されて以来、CISA は数百のセキュリティ バグを既知の悪用された脆弱性のカタログに追加し、潜在的なセキュリティ侵害を阻止するために、米国連邦機関にできるだけ早くパッチを適用するよう命じました。