网络安全和基础设施安全局 (CISA) 已下令联邦民事机构在未来两周内修补在攻击中利用的两个关键 Firefox 安全漏洞。
根据周末发布的 Mozilla 公告,这两个错误(跟踪为 CVE-2022-26485 和 CVE-2022-26486)是 Use After Free漏洞,允许攻击者触发崩溃并在目标设备上执行恶意制作的代码。
它们被评为严重严重性,因为它们可以让攻击者在运行易受攻击的 Firefox 版本的系统上执行几乎任何命令,包括下载可以让他们进一步访问设备的恶意软件。
Mozilla 表示,它收到了滥用这两个漏洞的“野外攻击报告”,可能用于远程代码执行 (CVE-2022-26485) 和逃避浏览器沙箱 (CVE-2022-26486)。
根据 11 月发布的具有 约束力的操作指令 (BOD 22-01) ,联邦民事执行部门机构 (FCEB) 机构现在需要保护其系统免受这些漏洞的影响,CISA 要求他们在 3 月 21 日之前应用补丁。
美国网络安全机构解释说:“这些类型的漏洞是各种恶意网络参与者的常见攻击媒介,并对联邦企业构成重大风险。 ”
CISA 将其他九个漏洞添加到其已知被利用漏洞目录 中,基于威胁行为者也在野外积极利用它们的证据。
其中一个被跟踪为 CVE-2021-21973,影响 VMware vCenter 服务器,导致信息泄露,并且还必须在两周内进行修补。
| CVE ID | 漏洞名称 | 截止日期 |
| CVE-2022-26486 | Mozilla Firefox 释放后使用漏洞 | 3月21日 |
| CVE-2022-26485 | Mozilla Firefox 释放后使用漏洞 | 3月21日 |
| CVE-2021-21973 | VMware vCenter Server、Cloud Foundation Server Side Request Forgery (SSRF) | 3月21日 |
| CVE-2020-8218 | Pulse Connect 安全代码注入漏洞 | 9月7日 |
| CVE-2019-11581 | Atlassian Jira 服务器和数据中心服务器端模板注入漏洞 | 9月7日 |
| CVE-2017-6077 | NETGEAR DGN2200 远程代码执行漏洞 | 9月7日 |
| CVE-2016-6277 | NETGEAR 多路由器远程代码执行漏洞 | 9月7日 |
| CVE-2013-0631 | Adobe ColdFusion 信息泄露漏洞 | 9月7日 |
| CVE-2013-0629 | Adobe ColdFusion 目录遍历漏洞 | 9月7日 |
| CVE-2013-0625 | Adobe ColdFusion 身份验证绕过漏洞 | 9月7日 |
| CVE-2009-3960 | Adobe BlazeDS 信息泄露漏洞 | 9月7日 |
尽管 BOD 22-01 仅适用于 FCEB 机构,但 CISA 强烈敦促所有其他私营和公共部门组织通过优先缓解这些
安全漏洞来减少他们对持续网络攻击的风险。
CISA 补充说:“这些类型的漏洞是所有类型的恶意网络参与者的常见攻击媒介,并对联邦企业构成重大风险。”
今年 CISA 在其积极利用的漏洞目录中添加了数百个漏洞,要求联邦机构尽快修补它们以避免安全漏洞。
就在上周,周五,该机构将 95 个漏洞添加到列表中,其中 8 个漏洞的严重性得分至少为 9.8,并影响了 Cisco、Apache 和 Exim 产品。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
