CISA, Twilio Authy ve IE Kusurlarını İstismar Edilen Güvenlik Açıkları Listesine Ekliyor


24 Temmuz 2024Haber odasıGüvenlik Açığı / Yazılım Güvenliği

CISA

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif istismara dair kanıtlara dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna iki güvenlik açığı ekledi.

Güvenlik açıkları aşağıda listelenmiştir –

  • CVE-2012-4792 (CVSS puanı: 9.3) – Microsoft Internet Explorer Kullanım Sonrası Serbest Bırakma Güvenlik Açığı
  • CVE-2024-39891 (CVSS puanı: 5.3) – Twilio Authy Bilgi Açıklama Güvenlik Açığı

CVE-2012-4792, Internet Explorer’da on yıldır var olan, özel olarak hazırlanmış bir site aracılığıyla uzaktaki bir saldırganın keyfi kod çalıştırmasına olanak tanıyan bir güvenlik açığıdır.

Siber güvenlik

Bu açığın tekrar istismar edilip edilmediği henüz belli değil, ancak Aralık 2012’de Dış İlişkiler Konseyi (CFR) ve Capstone Turbine Corporation web sitelerini hedef alan watering hole saldırılarının bir parçası olarak kötüye kullanıldığı biliniyor.

Öte yandan CVE-2024-39891, kimliği doğrulanmamış bir uç noktadaki, “bir telefon numarası içeren bir isteği kabul etmek ve telefon numarasının Authy’de kayıtlı olup olmadığına ilişkin bilgiyle yanıt vermek” için istismar edilebilecek bir bilgi ifşa hatasına atıfta bulunmaktadır.

Twilio, bu ayın başlarında, kimliği belirsiz tehdit aktörlerinin Authy hesaplarıyla ilişkili verileri tespit etmek için bu eksiklikten yararlanmasının ardından sorunun 25.1.0 (Android) ve 26.1.0 (iOS) sürümlerinde çözüldüğünü duyurdu.

CISA, yayınladığı bir duyuruda, “Bu tür güvenlik açıkları kötü niyetli siber aktörler için sık görülen saldırı vektörleridir ve federal işletmeler için önemli riskler oluştururlar” dedi.

Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 13 Ağustos 2024 tarihine kadar tespit edilen güvenlik açıklarını gidermeleri gerekiyor.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link