CISA 在其已知漏洞目录中又增加了 2 个安全漏洞

Hackernews 编译，转载请注明出处：

美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了2个新漏洞，一个Windows权限提升漏洞，跟踪为CVE-2022-37969，以及一个任意代码执行漏洞，跟踪为CVE-2022-32917，影响iPhone和Mac。

根据具有约束力的操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私人组织审查目录并解决其基础设施中的漏洞。

CVE-2022-37969漏洞已在微软周二发布的补丁安全更新中得到解决，它是一个Windows通用日志文件系统驱动程序权限提升漏洞。

微软将报告此漏洞归功于DBAPPSecurity的Quan Jin、Mandiant的Genwei Jiang、FLARE OTF、CrowdStrike和Zscaler ThreatLabz。

该公司没有透露利用该漏洞进行攻击的详细信息。

CISA目录中添加的第二个漏洞是一个任意代码执行漏洞，跟踪为CVE-2022-32917。该漏洞是苹果公司今年解决的第八个被积极利用的零日漏洞。

苹果针对该漏洞发布的公告中写道：“应用程序可能能够以内核权限执行任意代码，这个问题已通过改进边界检查得到解决。”

该漏洞影响iPhone 6s及以上版本、iPad Pro(所有型号)、iPad Air 2及以上版本、iPad第5代及以上版本、iPad mini 4及以上版本、iPod touch(第7代、运行macOS Big Sur 11.7和macOS Monterey 12.6的mac)。

黑客可以通过创建特制的应用程序来利用此漏洞，以内核权限执行任意代码。该漏洞由一位匿名研究人员报告，苹果公司证实它知道该漏洞“可能已被积极利用”。

CISA 命令联邦机构在2022年10月5日之前修复这些漏洞。

消息来源：securityaffairs，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文