Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) добавило девять новых недостатков в свою коллекцию активно эксплуатируемых уязвимостей, в том числе две недавно исправленные уязвимости нулевого дня, влияющие на Google Chrome и Adobe Commerce/Magento с открытым исходным кодом.
Уязвимость Chrome (CVE-2022-0609) — это серьезная ошибка после бесплатной ошибки, которая позволяет злоумышленникам выполнить произвольный код или выйти из изолированной программной среды браузера на компьютерах с неисправленными версиями Chrome, адресованными в Chrome 98.0.4758.102.
Adobe выпустила экстренное обновление для исправления критической уязвимости (CVE-2022-24086), которая использовалась в дикой природе «в очень ограниченных атаках» для удаленного выполнения кода с использованием эксплойтов, нацеленных на Adobe Commerce и Magento с открытым исходным кодом версий 2.4.3-p1/2.3. 7-п2.
Компания Sansec, занимающаяся безопасностью электронной коммерции, предупредила, что уязвимость Magento аналогична критической ошибке Magento Shoplift 2015 года , которая позволила злоумышленникам захватить уязвимые сайты Magento.
CISA заявила, что все агентства Федеральной гражданской исполнительной власти (FCEB) должны установить исправления для этих двух уязвимостей до 1 марта 2022 года.
Полный список из девяти уязвимостей, добавленных сегодня в каталог известных эксплуатируемых уязвимостей CISA, включает в себя сочетание старых и новых уязвимостей за период с 2013 по 2022 год, как показано в таблице ниже.
CVE-номер | CVE-титул | Крайний срок исправления |
CVE-2022-24086 | Adobe Commerce и Magento с открытым исходным кодом Неправильная проверка ввода | 01.03.22 |
CVE-2022-0609 | Использование Google Chrome после бесплатного использования | 01.03.22 |
CVE-2019-0752 | Путаница в типах Microsoft Internet Explorer | 15.08.22 |
CVE-2018-8174 | Microsoft Windows VBScript Engine за пределами записи | 15.08.22 |
CVE-2018-20250 | Абсолютный обход пути WinRAR | 15.08.22 |
CVE-2018-15982 | Adobe Flash Player после бесплатного использования | 15.08.22 |
CVE-2017-9841 | Инъекция команды PHPUnit | 15.08.22 |
CVE-2014-1761 | Повреждение памяти Microsoft Word | 15.08.22 |
CVE-2013-3906 | Повреждение памяти графического компонента Microsoft | 15.08.22 |
Согласно обязательной оперативной директиве (BOD 22-01) , выпущенной CISA в ноябре 2021 года, федеральные агентства должны исправить свои системы для защиты от этих активно эксплуатируемых уязвимостей.
«Эти типы уязвимостей являются частым вектором атак для злоумышленников всех типов и представляют значительный риск для федерального предприятия», — говорится в сообщении агентства по кибербезопасности .
«Хотя BOD 22-01 применяется только к агентствам FCEB, CISA настоятельно призывает все организации снизить свою подверженность кибератакам, отдавая приоритет своевременному устранению уязвимостей Каталога в рамках своей практики управления уязвимостями».
На прошлой неделе агентство кибербезопасности США также поручило агентствам обновить iPhone, Mac и iPad до 25 февраля для устранения ошибки удаленного выполнения кода Apple WebKit, используемой в дикой природе.
Днем ранее агентствам FCEB также было предложено исправить 15 других активно эксплуатируемых недостатков , включая ошибку повышения привилегий Windows SeriousSAM , позволяющую злоумышленникам выполнять произвольный код с системными привилегиями, помеченными для исправления до 24 февраля.
Перевод Google
Bleeping Computer
