CISA在一周内将75个被积极利用的漏洞添加到其必须修补列表中

安全团队忙得不可开交：美国网络安全机构正在敦促所有人修补大量软件漏洞，包括微软Silverlight插件和Adob​​eFlashPlayer中的一些旧漏洞。

本周，网络安全和基础设施安全局(CISA)在其已知被利用软件漏洞目录中添加了三批必须修复的漏洞。第一个包含21个漏洞，第二个包含20个已知的已被利用的漏洞，第三个包含34个。美国联邦机构必须在CISA的最后期限之前修补这些漏洞。

并非所有这些缺陷都处于技术前沿：这些补丁还包括软件中非常古老的错误，例如MicrosoftSilverlight(已于2021年10月终止支持)和Adob​​e已失效的FlashPlayer插件。所有浏览器都放弃了对Flash和Flash内容的支持，微软去年从Windows中删除了Flash。

参见：云计算安全：新指南旨在保护您的数据免受网络攻击和破坏

Silverlight有可能仍然作为内部遗留应用程序或网站在政府系统中浮动。例如，Silverlight应用程序在现代Edge中仍将在IE模式下运行。

CISA对其已知被利用漏洞目录的最新更新包括2016年和2015年披露的Flash漏洞以及可追溯到2013年的Silverlight漏洞。它还包括影响WhatsApp、Kaseya、MozillaFirefox、Apple的iOS和GoogleChrome的旧漏洞。

2015年至2018年间还披露了一些Windows漏洞、2014年的几个InternetExplorer漏洞、2014年的Linux内核特权升级漏洞以及可追溯到2010年的多个OracleJava远程代码执行漏洞。

尽管有些漏洞存在已久，但众所周知，恶意软件运营商在知道某些软件未打补丁的情况下，经常利用旧漏洞进行攻击。惠普的威胁研究人员本周警告说，Snake键盘记录器背后的攻击者正在利用2017年披露的Microsoft遗留公式编辑器软件(CVE-2017-11882)中的漏洞。在Microsoft于2017年底修补该漏洞后，攻击者开始攻击该漏洞。Microsoft于2018年从Word中删除了该漏洞的功能，但如今它仍然是一个很受欢迎的漏洞。

2022年披露的较新的“必须修补”漏洞之一影响了思科的IOSXR软件(CVE-2022-20821)。思科上周披露了它，并给它一个中等严重性评级，并指出它在5月份就意识到它在野外被“企图利用”。

不管大多数漏洞存在多久，CISA指出，“这些类型的漏洞是恶意网络参与者的常见攻击媒介，并对联邦企业构成重大风险。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！