Hackernews 编译,转载请注明出处:
美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了2个新漏洞,一个Windows权限提升漏洞,跟踪为CVE-2022-37969,以及一个任意代码执行漏洞,跟踪为CVE-2022-32917,影响iPhone和Mac。
根据具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。
专家还建议私人组织审查目录并解决其基础设施中的漏洞。
CVE-2022-37969漏洞已在微软周二发布的补丁安全更新中得到解决,它是一个Windows通用日志文件系统驱动程序权限提升漏洞。
微软将报告此漏洞归功于DBAPPSecurity的Quan Jin、Mandiant的Genwei Jiang、FLARE OTF、CrowdStrike和Zscaler ThreatLabz。
该公司没有透露利用该漏洞进行攻击的详细信息。
CISA目录中添加的第二个漏洞是一个任意代码执行漏洞,跟踪为CVE-2022-32917。该漏洞是苹果公司今年解决的第八个被积极利用的零日漏洞。
苹果针对该漏洞发布的公告中写道:“应用程序可能能够以内核权限执行任意代码,这个问题已通过改进边界检查得到解决。”
该漏洞影响iPhone 6s及以上版本、iPad Pro(所有型号)、iPad Air 2及以上版本、iPad第5代及以上版本、iPad mini 4及以上版本、iPod touch(第7代、运行macOS Big Sur 11.7和macOS Monterey 12.6的mac)。
黑客可以通过创建特制的应用程序来利用此漏洞,以内核权限执行任意代码。该漏洞由一位匿名研究人员报告,苹果公司证实它知道该漏洞“可能已被积极利用”。
CISA 命令联邦机构在2022年10月5日之前修复这些漏洞。
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文