Cisa добавила шесть CVE в каталог Kev на этой неделе, включая недавно раскрытые уязвимости в Google Chromium и Dell RecoverPoint for Virtual Machines, а также некоторые старые проблемы. — computerweekly.com
Уязвимости в движке веб-браузера Google Chromium и ActiveX Control для видео в Microsoft Windows входят в число шести проблем, добавленных на этой неделе в каталог известных уязвимостей, подверженных эксплуатации (Known Exploited Vulnerabilities, Kev), Агентства по обеспечению кибербезопасности и защите инфраструктуры США (Cisa). Включение этих уязвимостей в регулярно обновляемый список Kev обязывает государственные учреждения США принять меры по их устранению к определенной дате — в данном случае к 10 марта 2026 года. Однако для частных организаций по всему миру этот список служит своевременным руководством по тому, какие уязвимости активно используются злоумышленниками и какие из них требуют немедленного внимания.
Проблема Google Chromium, отслеживаемая как CVE-2026-2441, представляет собой уязвимость удаленного выполнения кода (RCE), связанную с ошибкой использования освобожденной памяти (use-after-free), при которой приложение продолжает обращаться к адресу памяти после его освобождения. Она классифицируется как уязвимость нулевого дня. Google сообщил, что ему «известно» о существовании эксплойта для данной уязвимости в реальных условиях и выпустил обновления для стабильного канала до версий 145.0.7632.75/76 для Windows и Macintosh, а также 144.0.7559.75 для Linux.
Уязвимость Microsoft, датируемая почти 20-летней давностью, имеет идентификатор CVE-2008-0015. Это также уязвимость RCE, но она возникает из-за переполнения буфера в стеке компонента ActiveX для видео в Windows и активируется, если удается убедить уязвимого пользователя посетить вредоносный веб-сайт. Ее повторное появление сейчас подразумевает, что злоумышленники используют ее для атаки на организации, которые либо не смогли, либо забыли установить исправления много лет назад и до сих пор используют устаревшие системы и снятое с поддержки программное обеспечение.
Другие уязвимости, находящиеся в поле зрения Cisa, включают CVE-2020-7796 — уязвимость подделки запросов на стороне сервера (SSRF) в Synacor Zimbra Collaboration Suite, и CVE-2024-7694 в Team T5 ThreatSonar Anti-Ransomware, где невозможность корректной проверки содержимого загружаемых файлов позволяет удаленному злоумышленнику с правами администратора загружать вредоносные файлы для выполнения произвольных системных команд.
Также в каталог Kev на этой неделе были добавлены CVE-2026-22769 — уязвимость с жестко закодированными учетными данными в Dell RecoverPoint for Virtual Machines, позволяющая неаутентифицированному удаленному злоумышленнику получить доступ к операционной системе, и CVE-2021-22175 — еще одна проблема SSRF в GitLab.
Гюнтер Оллман, технический директор (CTO) компании Cobalt, поставщика услуг пентестирования, отметил, что последние добавления Cisa в каталог Kev подчеркивают постоянную реальность для специалистов по кибербезопасности — злоумышленники прагматичны, а не следуют моде. «Они с одинаковой легкостью используют совершенно новую уязвимость переполнения кучи в Chrome, как и переполнение буфера ActiveX 2008 года, если это дает им надежный доступ», — сказал Оллман. «Что здесь выделяется, так это разнообразие поверхностей атаки: от браузеров и платформ для совместной работы до конечного программного обеспечения, которое должно защищать от программ-вымогателей».
Оллман добавил, что это подтверждает явную необходимость в непрерывном тестировании, управляемом действиями противника, которое отражает реальность того, как злоумышленники объединяют эксплойты, SSRF-уязвимости и устаревшие слабости в практические пути вторжения. «Организации не могут относиться к установке исправлений как к ежеквартальной гигиенической процедуре. Им необходима постоянная проверка того, что открытые службы, клиентское программное обеспечение и средства защиты устойчивы в условиях реальных атак. Каталог Kev — это не просто список ошибок, это план того, что злоумышленники успешно монетизируют сегодня».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton