米国のサイバーセキュリティ機関 CISA は月曜日、Windows バグ 2 つを含む 7 つの脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加しました。
CVE-2023-36424 として追跡される最初の Windows 欠陥は、権限昇格につながる可能性のあるコモン ログ ファイル ドライバの問題として説明されています。
Microsoft は 2023 年 11 月にこの脆弱性の修正プログラムをリリースし、翌月に技術的詳細と概念実証 (PoC) コードが公開されました。
KEV リストに追加された 2 番目の Windows 脆弱性は CVE-2025-60710 で、Windows Tasks のホスト プロセスのリンク追跡脆弱性として説明されており、権限昇格に悪用される可能性があります。
セキュリティ欠陥の修正プログラムは 2025 年 11 月に リリースされ、PoC エクスプロイト コードはその直後に利用可能になりました。
CISA の警告より前に、これらの欠陥が実際に悪用されているという報告はないようです。同じことが CVE-2020-9715(Adobe Acrobat および Reader の use-after-free バグで任意のコード実行につながる)にも当てはまります。
このバグは 2020 年 8 月に修正され、PoC コードは数年間公開されています。
月曜日、CISA は CVE-2023-21529 を KEV リストに追加しました。この Exchange 脆弱性は、先週 Microsoft が Medusa ランサムウェア ギャングの最近の活動を詳細に説明するレポートで悪用されているとして指摘したものです。
KEV リストへのその他の新しい追加には、Adobe Acrobat と Reader の最近公開された問題である CVE-2026-34621 と Fortinet FortiClient EMS の CVE-2026-21643 が含まれます。これらはゼロデイとして悪用されています。両方の欠陥により、リモート攻撃者は脆弱なシステムで任意のコードを実行できます。
さらに、CISA は CVE-2012-1854(Microsoft Visual Basic for Applications のセキュアでないライブラリ読み込み脆弱性で、リモート コード実行 (RCE) を有効にする)が攻撃者のターゲットになっていると警告しました。
セキュリティ欠陥は 2012 年 11 月に修正されました。その際、Microsoft は 警告し、それがゼロデイとして実際に悪用されていたことを明かしました。
CISA は連邦機関に、2 週間以内にこれらの脆弱性の修正を適用するよう促しています。ただし、Fortinet バグは 4 月 16 日までに修正される必要があります。
