安全团队忙得不可开交:美国网络安全机构正在敦促所有人修补大量软件漏洞,包括微软Silverlight插件和AdobeFlashPlayer中的一些旧漏洞。
本周,网络安全和基础设施安全局(CISA)在其已知被利用软件漏洞目录中添加了三批必须修复的漏洞。第一个包含21个漏洞,第二个包含20个已知的已被利用的漏洞,第三个包含34个。美国联邦机构必须在CISA的最后期限之前修补这些漏洞。
并非所有这些缺陷都处于技术前沿:这些补丁还包括软件中非常古老的错误,例如MicrosoftSilverlight(已于2021年10月终止支持)和Adobe已失效的FlashPlayer插件。所有浏览器都放弃了对Flash和Flash内容的支持,微软去年从Windows中删除了Flash。
参见:云计算安全:新指南旨在保护您的数据免受网络攻击和破坏
Silverlight有可能仍然作为内部遗留应用程序或网站在政府系统中浮动。例如,Silverlight应用程序在现代Edge中仍将在IE模式下运行。
CISA对其已知被利用漏洞目录的最新更新包括2016年和2015年披露的Flash漏洞以及可追溯到2013年的Silverlight漏洞。它还包括影响WhatsApp、Kaseya、MozillaFirefox、Apple的iOS和GoogleChrome的旧漏洞。
2015年至2018年间还披露了一些Windows漏洞、2014年的几个InternetExplorer漏洞、2014年的Linux内核特权升级漏洞以及可追溯到2010年的多个OracleJava远程代码执行漏洞。
尽管有些漏洞存在已久,但众所周知,恶意软件运营商在知道某些软件未打补丁的情况下,经常利用旧漏洞进行攻击。惠普的威胁研究人员本周警告说,Snake键盘记录器背后的攻击者正在利用2017年披露的Microsoft遗留公式编辑器软件(CVE-2017-11882)中的漏洞。在Microsoft于2017年底修补该漏洞后,攻击者开始攻击该漏洞。Microsoft于2018年从Word中删除了该漏洞的功能,但如今它仍然是一个很受欢迎的漏洞。
2022年披露的较新的“必须修补”漏洞之一影响了思科的IOSXR软件(CVE-2022-20821)。思科上周披露了它,并给它一个中等严重性评级,并指出它在5月份就意识到它在野外被“企图利用”。
不管大多数漏洞存在多久,CISA指出,“这些类型的漏洞是恶意网络参与者的常见攻击媒介,并对联邦企业构成重大风险。”