最新公告新增到 CISA 「已知遭濫用之漏洞清單」(Known Exploited Vulnerabilities Catalog)的 36 種漏洞,分別存於 Microsoft、Google、Adobe、Cisco、Netgear、QNAP 等公司的軟硬體產品,重點漏洞如下:
Microsoft:CVE-2012-4969(存於 Internet Explorer 的遠端任意程式碼執行漏洞)、CVE-2013-1331(存於 Microsoft Office 的緩衝區溢位漏洞,可用以進行遠端攻擊)、CVE-2012-0151(存於 Microsoft Windows 的簽署驗證錯誤,可遠端執行任意程式碼)。
Google:CVE-2016-1646 與 CVE-2015-5198(存於 Google Chromium V8 引擎,可進行 DoS 攻擊)、CVE-2018-17463 與 CVE-2017-5070(同樣存於 Google Chromium V8 引擎,可用於遠端執行任意程式碼)。
Adobe:CVE-2009-4324(存於 Adobe Acrobat 與 Reader,可透過特製 PDF檔遠端執行任意程式碼)、CVE-2010-1297(存於 Adobe Flash Player 的記憶體崩潰漏洞,可用以遠端執行任意程式碼或發動 DoS 攻擊)。
Cisco RV 系列:CVE-2019-15271,攻擊者可以取得 root 權限並且遠端執行任意程式碼。
Netgear:CVE-2017-6862,存於多種該品牌裝置中的緩衝區溢位漏洞,可讓駭侵者跳過安全驗證並遠端執行任意程式碼。
QNAP:CVE-2019-7192,存於 QNAP NAS 中 Photo Station 軟體的存取權限控制錯誤,可讓未經授權的駭侵者遠端控制裝置。
CISA 不時會發布更新「已知遭濫用之漏洞清單」,建議各軟硬體產品用戶及系統管理員,應隨時注意更新消息,確保軟體與韌體均為最新版本,以避免駭侵者利用已知資安漏洞發動攻擊得逞而造成損失。
相關連結
