Η CISA τοποθετεί τα Chrome και Magento στη λίστα με τις επείγουσες ενημερώσεις Zero-Days

Οι αρχές των ΗΠΑ έχουν προσθέσει άλλες εννέα εκμεταλλευόμενες ευπάθειες για επιδιόρθωση των ομοσπονδιακών υπηρεσιών, συμπεριλαμβανομένου ενός bug zero-day που χρησιμοποιείται για την παραβίαση ιστοτόπων ηλεκτρονικού εμπορίου.

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) ενημέρωσε χθες τον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών.

Οι πιο επείγουσες ενημερώσεις κώδικα πρέπει να εφαρμοστούν έως την 1η Μαρτίου. Σχετίζονται με δύο zero-day ευπάθειες: ένα ακατάλληλο ελάττωμα επικύρωσης εισόδου στο Adobe Commerce και στο Magento Open Source και μια ευπάθεια μετά τη χρήση στο Google Chrome.

Το σφάλμα της Adobe (CVE-2022-24086) επιδιορθώθηκε από την εταιρεία την Κυριακή, αφού έλαβε βαθμολογία CVSS 9,8.

Αυτή η κρίσιμη ευπάθεια είναι εκμεταλλεύσιμη χωρίς διαπιστευτήρια και μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα σε ένα επηρεαζόμενο σύστημα, επιτρέποντας ενδεχομένως επιθέσεις ψηφιακού skimming σε ιστότοπους ηλεκτρονικού εμπορίου που εκτελούν το λογισμικό CMS.

Αν και η Adobe ισχυρίστηκε ότι είχε δει μόνο «πολύ περιορισμένες» επιθέσεις, το γεγονός ότι έκανε το ασυνήθιστο βήμα της έκδοσης μιας ενημέρωσης κώδικα εκτός ζώνης υπογραμμίζει τον πιθανό αντίκτυπο της εκμετάλλευσης.

Η ευπάθεια του Chrome (CVE-2022-0609) είναι το πρώτο σφάλμα μηδενικής ημέρας του προγράμματος περιήγησης του έτους και έχει βαθμολογηθεί με υψηλή σοβαρότητα.

Θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να δημιουργήσει μια ειδικά κατασκευασμένη ιστοσελίδα, να ξεγελάσει έναν χρήστη για να την επισκεφτεί μέσω μιας επίθεσης phishing και στη συνέχεια να εκτελέσει αυθαίρετο κώδικα στον υπολογιστή του. Η Google είπε ότι η ενημέρωση θα ενσωματωθεί στην έκδοση 98.0.4758.102 και θα κυκλοφορήσει τις επόμενες ημέρες/εβδομάδες.

Ο κατάλογος κυκλοφόρησε τον Νοέμβριο του 2021 ως μέρος της Δεσμευτικής Επιχειρησιακής Οδηγίας (BOD) 22-01, που έχει σχεδιαστεί για να κάνει τις μη στρατιωτικές ομοσπονδιακές κυβερνητικές υπηρεσίες πιο ανθεκτικές στον κυβερνοχώρο.

Ωστόσο, συνιστάται επίσης ως βέλτιστη πρακτική για όλους τους οργανισμούς να δίνουν προτεραιότητα στις προσπάθειές τους για επιδιόρθωση σύμφωνα με τη λίστα, δεδομένου ότι όλα τα σφάλματα σε αυτήν τα έχουν ήδη εκμεταλλευτεί.

Τα υπόλοιπα επτά σε αυτήν την τελευταία ενημερωμένη λίστα πρέπει να διορθωθούν έως τις 15 Αυγούστου 2022, σύμφωνα με την CISA. Περιλαμβάνουν ένα άλλο ελάττωμα χρήσης μετά τη δωρεάν χρήση του Adobe Flash Player και σφάλματα που επηρεάζουν τέσσερα προϊόντα της Microsoft: Word, Internet Explorer, Windows και Microsoft Graphics Component.