Cisa

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté neuf nouvelles failles à sa collection de vulnérabilités activement exploitées, dont deux vulnérabilités récemment corrigées impactant Google Chrome et Adobe Commerce/Magento Open Source.

La vulnérabilité Chrome (CVE-2022-0609) est une utilisation de haute gravité après un bogue gratuit qui peut laisser les attaquants exécuter du code arbitraire ou échapper au bac à sable de sécurité du navigateur sur les ordinateurs exécutant des versions de Chrome non corrigées traitées dans Chrome 98.0.4758.102.

Adobe a publié une mise à jour d’urgence pour corriger une faille critique (CVE-2022-24086) exploitée à l’état sauvage « dans des attaques très limitées » pour obtenir l’exécution de code à distance à l’aide d’exploits ciblant Adobe Commerce et Magento Open Source versions 2.4.3-p1/2.3.7-p2.

La société de sécurité du commerce électronique Sansec a averti que la faille de Magento est similaire à le bug critique 2015 Magento Shoplift qui a permis aux pirates de prendre le contrôle de sites Magento vulnérables.

Publicité

La CISA a déclaré que toutes les agences fédérales du pouvoir exécutif civil (FCEB) doivent déployer des correctifs pour ces deux vulnérabilités de sécurité jusqu’au 1er mars 2022.

La liste complète des neuf failles ajoutées aujourd’hui au catalogue des vulnérabilités exploitées connues de CISA comprend un mélange d’anciens et de nouveaux bogues, allant de 2013 à 2022, comme indiqué dans le tableau ci-dessous.

Numéro CVE Titre CVE Date limite des correctifs
CVE-2022-24086 Adobe Commerce et Magento Open Source Validation incorrecte des entrées 01/03/22
CVE-2022-0609 Utilisation de Google Chrome après la libération 01/03/22
CVE-2019-0752 Confusion des types de Microsoft Internet Explorer 15/08/22
CVE-2018-8174 Écriture hors limites du moteur Microsoft Windows VBScript 15/08/22
CVE-2018-20250 Traversée de chemin absolu WinRAR 15/08/22
CVE-2018-15982 Utilisation d’Adobe Flash Player-Après-Libre 15/08/22
CVE-2017-9841 Injection de commande PHPUnit 15/08/22
CVE-2014-1761 Corruption de la mémoire Microsoft Word 15/08/22
CVE-2013-3906 Corruption de la mémoire des composants graphiques Microsoft 15/08/22

Les agences fédérales sont tenues de corriger leurs systèmes contre ces vulnérabilités activement exploitées, selon un directive opérationnelle contraignante (BOD 22-01) émis par CISA en novembre 2021.

« Ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants de tous types et présentent un risque important pour l’entreprise fédérale », a déclaré l’agence de cybersécurité. mentionné.

« Bien que BOD 22-01 ne s’applique qu’aux agences FCEB, CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en accordant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités. »

La semaine dernière, l’agence américaine de cybersécurité a également déclaré aux agences pour mettre à jour les iPhone, Mac et iPad jusqu’au 25 février contre un bogue d’exécution de code à distance Apple WebKit exploité dans la nature.

La veille, les agences du FCEB étaient également invité à patcher 15 autres failles activement exploitéesavec le Bogue d’escalade des privilèges Windows SeriousSAM permettant aux attaquants d’exécuter du code arbitraire avec les privilèges SYSTEM marqués pour le correctif d’ici le 24 février.

Rate this post
Publicité
Article précédentRevue du volume 4 de la sombre histoire de la méchante réincarnée • Anime UK News
Article suivantAMD a une capitalisation boursière plus importante qu’Intel pour la toute première fois
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici