На этой неделе Агентство кибербезопасности и безопасности инфраструктуры (CISA) добавило три пакета ошибок, которые необходимо исправить, в свой каталог известных эксплуатируемых уязвимостей программного обеспечения. Первый охватывает 21 ошибку, второй - 20 известных эксплуатируемых ошибок, а третий - еще 34. Федеральные агентства США обязаны исправить недостатки к сроку, установленному CISA.
Не все эти недостатки связаны с передовыми технологиями. Множество исправлений также включает очень старые ошибки в программном обеспечении, таком как Microsoft Silverlight, поддержка которого закончилась в октябре 2021 года, и мертвый плагин Adobe Flash Player. Все браузеры отказались от поддержки Flash и Flash-контента, а Microsoft удалила Flash из Windows в прошлом году.
Есть вероятность, что Silverlight все еще может использоваться в правительственных системах в качестве внутренних устаревших приложений или веб-сайтов. Например, приложения Silverlight по-прежнему будут работать в режиме IE в современном Edge.
Последние обновления каталога известных эксплуатируемых уязвимостей CISA включают недостатки Flash, обнаруженные в 2016 и 2015 годах, и недостатки Silverlight, датированные 2013 годом. Он также включает более старые недостатки, затрагивающие WhatsApp, Kaseya, Mozilla Firefox, Apple iOS и Google Chrome.
Существует также ряд недостатков Windows, обнаруженных в период с 2015 по 2018 год, несколько ошибок Internet Explorer от 2014 года, недостаток повышения привилегий ядра Linux от 2014 года и несколько ошибок удаленного выполнения кода Oracle Java, датируемых 2010 годом.
Несмотря на возраст некоторых недостатков, известно, что операторы вредоносных программ часто используют эксплойты для старых ошибок, зная, что какое-то программное обеспечение не исправлено. Исследователь угроз HP на этой неделе предупредил, что злоумышленники, стоящие за кейлоггером Snake, использовали эксплойты для ошибки в устаревшем программном обеспечении Microsoft Equation Editor (CVE-2017-11882), которая была раскрыта в 2017 году. Злоумышленники ухватились за эту уязвимость после того, как Microsoft исправила ее в конце 2017 года. Microsoft удалила эту функциональность из Word в 2018 году, но сегодня она остается популярной ошибкой.
Одна из новых «обязательных» ошибок, обнаруженных в 2022 году, затронула программное обеспечение Cisco IOS XR (CVE-2022-20821). Cisco сообщила об этом на прошлой неделе и присвоила ему средний рейтинг серьезности, отметив, что ей известно о «попытке эксплуатации» в мае.
Независимо от возраста большинства ошибок, CISA отмечает, что «эти типы уязвимостей являются частым вектором атак для злоумышленников и представляют значительный риск для федерального предприятия».
Иван Ковалев
VIAВаш выбор сервера может иметь серьезные последствия для вашего бизнеса или проекта, поэтому важно осознанно подходить к
В новой версии Vivaldi 1.12 разработчики представили три функции, добавленные, как утверждают они сами - "по просьбам
Этот шедевр действительно впечатляет. Звуковое сопровождение и изумительная графика не оставят равнодушным никого. А
