ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Google Chrome ve Adobe Commerce/Magento Açık Kaynak’ı etkileyen yakın zamanda yamalı iki sıfır gün dahil olmak üzere, aktif olarak yararlanılan güvenlik açıkları koleksiyonuna dokuz yeni kusur ekledi.
Chrome güvenlik açığı (CVE-2022-0609), ücretsiz hatadan sonra yüksek önemde bir kullanımdır. saldırganların rastgele kod yürütmesine izin verebilir veya Chrome 98.0.4758.102’de adreslenen yama uygulanmamış Chrome sürümleri çalıştıran bilgisayarlarda tarayıcının güvenlik sanal alanından çıkın.
Adobe bir acil durum güncellemesi yayınladı vahşi doğada sömürülen kritik bir kusuru (CVE-2022-24086) düzeltmek için Adobe Commerce ve Magento Açık Kaynak sürüm 2.4.3-p1/2.3.7-p2’yi hedefleyen açıkları kullanarak uzaktan kod yürütme elde etmek için “çok sınırlı saldırılarda”.
E-ticaret güvenlik şirketi Sansec, Magento kusurunun benzer olduğu konusunda uyardı 2015 kritik hatası Magento Shoplift bu, tehdit aktörlerinin savunmasız Magento sitelerini ele geçirmesini sağladı.
CISA, tüm Federal Sivil Yürütme Organları (FCEB) kurumlarının bu iki güvenlik açığı için 1 Mart 2022’ye kadar yamalar dağıtması gerektiğini söyledi.
CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na bugün eklenen dokuz kusurun tam listesi, aşağıdaki tabloda gösterildiği gibi 2013 ile 2022 arasında değişen eski ve yeni hataların bir karışımını içerir.
CVE Numarası | CVE Başlığı | Yama Son Tarihi |
CVE-2022-24086 | Adobe Commerce ve Magento Açık Kaynak Uygunsuz Giriş Doğrulaması | 03/01/22 |
CVE-2022-0609 | Google Chrome Kullanımı-Sonra-Ücretsiz | 03/01/22 |
CVE-2019-0752 | Microsoft Internet Explorer Tür Karışıklığı | 08/15/22 |
CVE-2018-8174 | Microsoft Windows VBScript Motoru Sınır Dışında Yazma | 08/15/22 |
CVE-2018-20250 | WinRAR Mutlak Yol Geçişi | 08/15/22 |
CVE-2018-15982 | Adobe Flash Player Kullanımı-Sonra-Ücretsiz | 08/15/22 |
CVE-2017-9841 | PHPUnit Komut Enjeksiyonu | 08/15/22 |
CVE-2014-1761 | Microsoft Word Bellek Bozulması | 08/15/22 |
CVE-2013-3906 | Microsoft Grafik Bileşeni Bellek Bozulması | 08/15/22 |
Federal ajansların sistemlerini aktif olarak yararlanılan bu güvenlik açıklarına karşı yamalamaları gerekiyor. bağlayıcı operasyonel yönerge (BOD 22-01) CISA tarafından Kasım 2021’de yayınlandı.
Siber güvenlik ajansı, “Bu tür güvenlik açıkları, her türden kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli risk oluşturur.” söz konusu.
“BOD 22-01 yalnızca FCEB ajansları için geçerli olsa da, CISA, güvenlik açığı yönetimi uygulamalarının bir parçası olarak Katalog güvenlik açıklarının zamanında düzeltilmesine öncelik vererek tüm kuruluşları siber saldırılara maruz kalmalarını azaltmaya şiddetle teşvik ediyor.”
Geçen hafta, ABD siber güvenlik ajansı da ajanslara şunları söyledi: iPhone’ları, Mac’leri ve iPad’leri 25 Şubat’a kadar güncellemek için Vahşi doğada istismar edilen bir Apple WebKit uzaktan kod yürütme hatasına karşı.
Bir gün önce, FCEB ajansları da aktif olarak yararlanılan diğer 15 kusuru düzeltmesi istendiile Windows CiddiSAM ayrıcalıkları yükseltme hatası saldırganların 24 Şubat’a kadar yama için etiketlenmiş SİSTEM ayrıcalıklarıyla rastgele kod yürütmesine izin veriyor.