itkvariat

    Всего за одну неделю CISA добавил 75 активно эксплуатируемых эксплойтов в список обязательных исправлений




    На этой неделе Агентство кибербезопасности и безопасности инфраструктуры (CISA) добавило три пакета ошибок, которые необходимо исправить, в свой каталог известных эксплуатируемых уязвимостей программного обеспечения. Первый охватывает 21 ошибку, второй - 20 известных эксплуатируемых ошибок, а третий - еще 34. Федеральные агентства США обязаны исправить недостатки к сроку, установленному CISA.

    Не все эти недостатки связаны с передовыми технологиями. Множество исправлений также включает очень старые ошибки в программном обеспечении, таком как Microsoft Silverlight, поддержка которого закончилась в октябре 2021 года, и мертвый плагин Adobe Flash Player. Все браузеры отказались от поддержки Flash и Flash-контента, а Microsoft удалила Flash из Windows в прошлом году.

    Есть вероятность, что Silverlight все еще может использоваться в правительственных системах в качестве внутренних устаревших приложений или веб-сайтов. Например, приложения Silverlight по-прежнему будут работать в режиме IE в современном Edge.

    Последние обновления каталога известных эксплуатируемых уязвимостей CISA включают недостатки Flash, обнаруженные в 2016 и 2015 годах, и недостатки Silverlight, датированные 2013 годом. Он также включает более старые недостатки, затрагивающие WhatsApp, Kaseya, Mozilla Firefox, Apple iOS и Google Chrome.

    Существует также ряд недостатков Windows, обнаруженных в период с 2015 по 2018 год, несколько ошибок Internet Explorer от 2014 года, недостаток повышения привилегий ядра Linux от 2014 года и несколько ошибок удаленного выполнения кода Oracle Java, датируемых 2010 годом.

    Несмотря на возраст некоторых недостатков, известно, что операторы вредоносных программ часто используют эксплойты для старых ошибок, зная, что какое-то программное обеспечение не исправлено. Исследователь угроз HP на этой неделе предупредил, что злоумышленники, стоящие за кейлоггером Snake, использовали эксплойты для ошибки в устаревшем программном обеспечении Microsoft Equation Editor (CVE-2017-11882), которая была раскрыта в 2017 году. Злоумышленники ухватились за эту уязвимость после того, как Microsoft исправила ее в конце 2017 года. Microsoft удалила эту функциональность из Word в 2018 году, но сегодня она остается популярной ошибкой.

    Одна из новых «обязательных» ошибок, обнаруженных в 2022 году, затронула программное обеспечение Cisco IOS XR (CVE-2022-20821). Cisco сообщила об этом на прошлой неделе и присвоила ему средний рейтинг серьезности, отметив, что ей известно о «попытке эксплуатации» в мае.

    Независимо от возраста большинства ошибок, CISA отмечает, что «эти типы уязвимостей являются частым вектором атак для злоумышленников и представляют значительный риск для федерального предприятия».


    Иван Ковалев

    VIA



    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

    Поделитесь этой новостью с друзьями!


    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Объявлены победители фестиваля рекламы ЛАМА 2021
  • Фестиваль Белый Квадрат объявил победителей!
  • В Минске назвали имена победителей Effie Awards Belarus 2020
  • Объявлены победители фестиваля рекламы ЛАМА
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • LG G6: большой тест - обзор
  • SSD-накопитель Plextor M8Pe. Новый «клиент» для шины PCI Express


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное
    

Проверьте скорость вашего интернета!


Что бывало...
  • 29 апрель 1996

    DESCENT II

    Фанаты космических авиасимуляторов, радуйтесь! Появилось, наконец, продолжение одного из хитов прошлого года - игра



Всего за одну неделю CISA добавил 75 активно эксплуатируемых эксплойтов в список обязательных исправлений




На этой неделе Агентство кибербезопасности и безопасности инфраструктуры (CISA) добавило три пакета ошибок, которые необходимо исправить, в свой каталог известных эксплуатируемых уязвимостей программного обеспечения. Первый охватывает 21 ошибку, второй - 20 известных эксплуатируемых ошибок, а третий - еще 34. Федеральные агентства США обязаны исправить недостатки к сроку, установленному CISA.

Не все эти недостатки связаны с передовыми технологиями. Множество исправлений также включает очень старые ошибки в программном обеспечении, таком как Microsoft Silverlight, поддержка которого закончилась в октябре 2021 года, и мертвый плагин Adobe Flash Player. Все браузеры отказались от поддержки Flash и Flash-контента, а Microsoft удалила Flash из Windows в прошлом году.

Есть вероятность, что Silverlight все еще может использоваться в правительственных системах в качестве внутренних устаревших приложений или веб-сайтов. Например, приложения Silverlight по-прежнему будут работать в режиме IE в современном Edge.

Последние обновления каталога известных эксплуатируемых уязвимостей CISA включают недостатки Flash, обнаруженные в 2016 и 2015 годах, и недостатки Silverlight, датированные 2013 годом. Он также включает более старые недостатки, затрагивающие WhatsApp, Kaseya, Mozilla Firefox, Apple iOS и Google Chrome.

Существует также ряд недостатков Windows, обнаруженных в период с 2015 по 2018 год, несколько ошибок Internet Explorer от 2014 года, недостаток повышения привилегий ядра Linux от 2014 года и несколько ошибок удаленного выполнения кода Oracle Java, датируемых 2010 годом.

Несмотря на возраст некоторых недостатков, известно, что операторы вредоносных программ часто используют эксплойты для старых ошибок, зная, что какое-то программное обеспечение не исправлено. Исследователь угроз HP на этой неделе предупредил, что злоумышленники, стоящие за кейлоггером Snake, использовали эксплойты для ошибки в устаревшем программном обеспечении Microsoft Equation Editor (CVE-2017-11882), которая была раскрыта в 2017 году. Злоумышленники ухватились за эту уязвимость после того, как Microsoft исправила ее в конце 2017 года. Microsoft удалила эту функциональность из Word в 2018 году, но сегодня она остается популярной ошибкой.

Одна из новых «обязательных» ошибок, обнаруженных в 2022 году, затронула программное обеспечение Cisco IOS XR (CVE-2022-20821). Cisco сообщила об этом на прошлой неделе и присвоила ему средний рейтинг серьезности, отметив, что ей известно о «попытке эксплуатации» в мае.

Независимо от возраста большинства ошибок, CISA отмечает, что «эти типы уязвимостей являются частым вектором атак для злоумышленников и представляют значительный риск для федерального предприятия».


Иван Ковалев

VIA



Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!


Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Объявлены победители фестиваля рекламы ЛАМА 2021
  • Фестиваль Белый Квадрат объявил победителей!
  • В Минске назвали имена победителей Effie Awards Belarus 2020
  • Объявлены победители фестиваля рекламы ЛАМА
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • LG G6: большой тест - обзор
  • SSD-накопитель Plextor M8Pe. Новый «клиент» для шины PCI Express


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат Powered by © 1996-2022