Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Android, MikroTik, Zoho ManageEngine ServiceDesk en Apache HTTP Server binnen een gestelde deadline binnen hun organisatie patchen, anders zijn ze in overtreding van een "Binding Operational Directive".
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security publiceerde vorige maand een lijst met honderden actief aangevallen kwetsbaarheden en gaf federale overheidsinstanties via de directive de opdracht die voor een bepaalde datum te verhelpen. De lijst is nu met vijf kwetsbaarheden uitgebreid.
Het gaat om twee kwetsbaarheden in de Zoho ManageEngine ServiceDesk (CVE-2021-37415 en CVE-2021-44077) en een beveiligingslek in Apache HTTP Server (CVE-2021-40438). Deze drie kwetsbaarheden moeten voor 15 december van dit jaar op alle betreffende systemen zijn verholpen. Updates voor actief aangevallen beveiligingslekken in MikroTik-routers (CVE-2018-14847) en Android (CVE-2020-11261) moeten voor 1 juni volgend jaar zijn geïnstalleerd.
Afgelopen maart waarschuwde Google voor misbruik van het Android-lek. Dat is aanwezig in onderdelen van chipfabrikant Qualcomm. Het gaat dan specifiek om het onderdeel dat de graphics verzorgt. Door het niet goed valideren van invoer kan een malafide app 'memory corruption' veroorzaken. Om misbruik van het beveiligingslek te maken moet een aanvaller al toegang tot het systeem hebben, bijvoorbeeld door een malafide app die de gebruiker heeft geïnstalleerd, fysieke toegang of in combinatie met een tweede kwetsbaarheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.