Af Eskil Sørensen, 15/08/22
CISA har tilføjet yderligere to fejl til sit katalog over kendte, udnyttede sårbarheder. Det drejer sig om 0-dagssårbarheden i Windows Support Diagnostic Tool (MSDT), som blev rettet i forbindelse med sidste uges Patch Tuesday. Der findes efter det oplyste en exploit kode tilgængelig.
Den anden sårbarhed, der er kommet på CISAs ’Known Exploited Vulnerabilities Catalog’, har id’et CVE-2022-30333 og er en ’path traversal bug’ i UnRAR-værktøjet til Linux- og Unix-systemer. Path traversal bug betyder i praksis, at en angriber kan placere en ondsindet fil på sit mål og udpakke den til en vilkårlig placering under udpakningen.
Ifølge Bleeping Computer blev problemet afsløret af det schweiziske selskab SonarSource i slutningen af juni. Af rapporten fremgår det, hvordan fejlen kan bruges til fjernafvikling af kode for at kompromittere en Zimbra e-mail-server uden autentificering.
CISA har ifm. tilføjelsen af sårbarhederne i KEV-kataloget peget på, at føderale enheder skal implementere opdateringerne senest den 30. august.
Med tilføjelserne er der nu 792 CVE-numre i KEV-kataloget.
Links:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog