Google Chromium Web ブラウザ エンジンと Microsoft Windows Video ActiveX コントロールの欠陥は、今週、サイバーセキュリティ・インフラセキュリティ庁 (cisa) の既知の悪用された脆弱性 (kev) カタログに追加された 6 つの問題の 1 つです。

定期的に更新される KAVE リストにこれらの脆弱性が含まれることにより、特定の日付 (この例では 2026 年 3 月 10 日) までに米国政府機関による是正措置が義務付けられますが、より広範には、世界中の民間部門の組織にとって、どの脆弱性が実際に活発に悪用されており、どの脆弱性が即時に対応する必要があるのか​​についてのタイムリーな指針として機能します。

CVE-2026-2441 として追跡されている Google Chromium の問題は、リモート コード実行 (RCE) の欠陥であり、アプリケーションが解放された後もメモリの場所を指し続ける未使用状態に起因します。ゼロデイのカテゴリーに保管されています。

Googleは、この欠陥に対するエクスプロイトが存在することを「認識」しており、安定したチャネルをWindowsとMacintoshの場合は145.0.7632.75/76に、Linuxの場合は144.0.7559.75に更新したと述べた。

Microsoft の欠陥は 20 年近く前から存在しており、CVE-2008-0015 という識別子が付けられています。これも RCE 脆弱性ですが、Windows ビデオの ActiveX コンポーネントにおけるスタックベースのバッファ オーバーフローに起因し、脆弱なユーザーが悪意のある Web ページにアクセスするように誘導された場合に引き起こされます。

現在、その再出現は、何年も前に失敗したか、パッチを適用するのを忘れ、依然として古いシステムや廃止されたソフトウェアを実行している組織を標的として、脅威アクターがこれを使用していることを意味します。

Cisa が注目している他の脆弱性としては、Synacor Zimbra Collaboration Suite のサーバー側リクエスト フォージェリ (SSRF) 脆弱性である CVE-2020-7796、および Team T5 ThreatSonar Anti-Ransomware の CVE-2024-7694 があります。この脆弱性では、アップロードされたファイルの内容を適切に検証できないと、管理者権限を持つリモート攻撃者が悪意のあるファイルを任意の場所にアップロードできるようになります。きちんと。システムコマンド。

また、今週 Cave カタログに追加されたのは、Dell RecoverPoint for Virtual Machines にハードコードされた認証情報の脆弱性である CVE-2026-22769 であり、認証されていないリモート攻撃者がオペレーティング システムへのアクセスを取得できるようになり、CVE-2021-22175 (GitLab の別の SSRF 問題) も追加されています。

ペネトレーションテストサービスを提供するCobalt社の最高技術責任者（CTO）、ギュンター・オルマン氏は、Cisaの最新のCave追加は、サイバーセキュリティ専門家にとって現在進行中の現実、つまり攻撃者は流行ではなく現実的であることを浮き彫りにしていると述べた。

「これにより信頼できるアクセスが得られると、2008 年時代の ActiveX バッファ オーバーフローと同様の、Chrome ヒープ破損の新たな脆弱性が悪用されることになるでしょう」とオルマン氏は述べています。 「ここで浮き彫りになるのは、ブラウザやコラボレーション プラットフォームから、ランサムウェアから保護するエンドポイント ソフトウェアに至るまで、攻撃対象の多様性です。」

オルマン氏は、このことは、脅威攻撃者がさまざまなエクスプロイト、SSRF の欠陥、従来の脆弱性を実際の侵入経路に組み込む方法の現実を反映する、継続的な敵主導型のテストの明確な必要性を裏付けるものであると述べた。

同氏はさらに、「組織はパッチ適用を四半期ごとの衛生管理として扱うことはできない。組織は、公開されたサービス、クライアント側ソフトウェア、防御ツールが実際の攻撃状況下でも回復力があることを継続的に検証する必要がある。Cave Catalogは単なるバグのリストではなく、攻撃者が現在どのような収益化に成功しているかを示す青写真である。」と付け加えた。