CISA提醒修复严重的Chrome 和 D-Link漏洞
CISA提醒修复严重的Chrome 和 D-Link漏洞
Bill Toulas 代码卫士 2024-05-20 17:37
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国网络安全和基础设施局 (CISA) 将三个漏洞添加至必修清单,其中一个影响谷歌 Chrome 浏览器,另外两个影响某些D-Link 路由器。
CISA 提醒联邦机构和企业这些漏洞正遭利用,应部署安全更新或缓解措施。联邦机构应在6月6日前替换受影响设备或执行防御措施,降低或消减攻击风险。
遭活跃利用的缺陷
Chrome 中的漏洞是CVE-2024-4761,虽然谷歌已在5月13日证实称遭活跃利用,但目前尚不存在公开可用的技术详情。它是位于 Chrome V8 JavaScript 引擎中的一个界外写漏洞,它在 Chrome 浏览器中执行JS代码且其评级为高危漏洞。
就在谷歌披露CVE-2024-4761两天后,又称V8中的另外一个漏洞CVE-2024-4947也遭在野利用,不过CISA尚未将其增加至必修清单。CISA还提醒称,一个已存在10年的影响D-Link DIR-600 路由器的漏洞正在遭利用。该漏洞是CVE-2014-100005,是跨站请求伪造 (CSRF) 漏洞。它可导致攻击者将管理员认证请求劫持到设备的 web 管理面板,创建自己的管理员账户,修改配置并控制改设备。
尽管在该漏洞被披露的四年前,D-Link DIR-600 路由器已达生命周期,但D-Link 还是在固件版本 2.17b02 中发布了修复方案,并发布了包含缓解建议的安全通告。
另外一个影响D-Link 产品的漏洞也被加入必修清单,编号是CVE-2021-40655,影响自2015年起就不再受支持的D-Link DIR-605路由器。该漏洞的利用已遭公开。攻击者可通过发送至 /getcfg.php 页面的特殊构造的请求,在无需认证的前提下提取管理员的用户名和密码。
CISA 并未提供关于这两个D-Link 漏洞的任何背景信息,目前尚不清楚利用者的身份或该机构合适观察到攻击。一般来说老旧漏洞会被僵尸网络恶意软件纳入可利用漏洞清单中,不管设备类型或漏洞的年限。建议 D-Link 600 和605用户将设备替代为更新的机型,获得厂商在性能和安全更新方面的支持。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-chrome-eol-d-link-bugs/
题图:
Pixabay
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~