美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞:CVE-2024-43047 高通多个芯片组使用后免费漏洞CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞高通公司本周解决了其产品中的 20 个漏洞,其中包括一个潜在的零日问题,该问题被追踪为 CVE-2024-43047(CVSS 得分 7.8)。该漏洞源于一个可导致内存损坏的 “使用后免费”(use-after-free)错误。该零日漏洞存在于数字信号处理器(DSP)服务中,影响数十种芯片组。“目前,DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分,如果头缓冲区中存在任何 DMA 句柄 FD,就会释放相应的映射。不过,由于头缓冲区是以无符号 PD 的形式暴露给用户的,因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配,则可能导致免费使用(UAF)漏洞。“作为解决方案,为 DMA FD 添加 DMA 句柄引用,只有在找到引用时才释放 FD 的映射。谷歌零项目的网络安全研究人员塞斯-詹金斯(Seth Jenkins)和国际特赦组织安全实验室的王聪慧(Conghui Wang)报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。谷歌威胁分析小组称,CVE-2024-43047 可能正受到有限的、有针对性的利用,Wang 也证实了野外活动。研究人员还没有公布利用 CVE-2024-43047 的攻击细节,但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。关于CISA添加到KEV目录中的微软漏洞,IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。微软证实,这两个问题正在被恶意利用。CVE-2024-43572 (CVSS score: 7.8) – 微軟管理控制台遠端執行程式碼漏洞: 如果用户加载恶意的 MMC snap-in,Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限,但管理员应立即应用更新以减轻潜在危害。CVE-2024-43573(CVSS 得分:6.5)- Windows MSHTML 平台欺骗漏洞: 尽管该漏洞被评为中度,但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善,因此建议及时测试和部署此更新。根据约束性操作指令 (BOD) 22-01: 减少已知漏洞被利用的重大风险》,FCEB 机构必须在规定日期前处理已发现的漏洞,以保护其网络免受利用目录中漏洞的攻击。专家还建议私营机构审查目录并解决其基础设施中的漏洞。CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。
