Kreativzentrum
  1. SicherheitschefStartseite
  2. Informationen über Schwachstellen

Das KEV-Verzeichnis veröffentlichte 6 ausgenutzte Sicherheitslücken, die Apple, Apache, Adobe, D-Link, Joomla!

Sicherheitschef - - Informationen über Schwachstellen - 2957 Ansichten

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat sechs Sicherheitslücken veröffentlicht, die von den Herstellern Apple, Apache, Adobe, D-Link, Joomla! usw. ausgenutzt werden. Die Sicherheitslücke CVE-2023-41990 wurde von Apple gepatcht, wird aber weiterhin von unbekannten Angreifern ausgenutzt. Den Betroffenen wird empfohlen, die Sicherheitslücken zu schließen, um die Sicherheit ihres Netzwerks zu gewährleisten.

Vereinigte Staaten von AmerikaNetzwerksicherheitund die Agentur für Infrastruktursicherheit (CISA(bei denen bekannt ist, dass sie in der Praxis verwendet wurden)Schlupfloch(Sechs neue Sicherheitslücken wurden in den (KEV)-Katalog aufgenommen, da es Hinweise gibt, dass sie aktiv ausgenutzt werden.

Zu ihnen gehören:

  • CVE-2023-27524 (CVSS-Wertung: 8.9)Diese hochriskante Schwachstelle betrifft die Open-Source-Datenvisualisierungssoftware Apache Superset und ermöglicht es einem Angreifer, Code aus der Ferne auszuführen. Die Sicherheitslücke wurde in Version 2.1 behoben. Naveen Sunkavally von Horizon3.ai beschreibt die Schwachstelle als "eine gefährliche Standardkonfiguration in Apache Superset, die es einem nicht authentifizierten Angreifer ermöglicht, aus der Ferne Code auszuführen, Anmeldeinformationen zu stehlen und Daten zu beschädigen ". Es ist unklar, wie die Sicherheitslücke in der freien Wildbahn ausgenutzt wird.
  • CVE-2023-38203 (CVSS-Wertung: 9.8)Adobe ColdFusion: Sicherheitslücke bei der Deserialisierung nicht vertrauenswürdiger Daten.
  • CVE-2023-29300 (CVSS-Wertung: 9.8)Adobe ColdFusion: Sicherheitslücke bei der Deserialisierung nicht vertrauenswürdiger Daten.
  • CVE-2023-41990 (CVSS-Wertung: 7.8)Codeausführungsschwachstellen in mehreren Apple-Produkten.
  • CVE-2016-20017 (CVSS-Wertung: 9.8)D-Link DSL-2750B GerätBefehlsinjektionAnfälligkeit.
  • CVE-2023-23752 (CVSS-Wertung: 5.3)Schwachstelle in der Zugriffskontrolle.

Die Sicherheitslücke CVE-2023-41990 wurde von Apple in iOS 15.7.8 und iOS 16.3 behoben, wurde jedoch von unbekannten Angreifern (über einen manipulierten iMessage-PDF-Anhang) für einen "Triangulations"-Spyware-Angriff ausgenutzt.Entfernte Code-Ausführung.

Die CISA empfiehlt den Bundesbehörden der Zivilen Exekutive (Federal Civil Executive Branch, FCEB), bis zum 29. Januar 2024 Korrekturen für die oben genannten Schwachstellen anzuwenden, um ihre Netzwerke vor aktiven Bedrohungen zu schützen.

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/cisa-updates-kev-catalog-with-6-vulnerabilities.html

Wie (0)
0 0

Über den Autor.

Sicherheitschef

Sicherheitschef

99 Beiträge
4 Kommentare
1 Fragen
2 antwortet
3 Anhänger
Verantwortlicher für die Sicherheit (cncso.com)
Vorherige Freitag, 9. Januar 2024 um 9:13 Uhr
Weiter 10. Januar 2024 9:30 Uhr

Empfohlen