- 网络安全和基础设施安全局在其已知利用漏洞目录中添加了 2 个影响 Oracle 和 Google 产品的新漏洞。
- 影响 Google Chrome 浏览器的漏洞将在下一次更新中修补,该更新将在接下来的几天内推出。
- 关键的 Oracle 融合中间件漏洞已于 2022 年 1 月修补,但黑客仍在野外利用未修补的版本。
网络安全和基础设施安全局宣布,该组织已将影响 Oracle 融合中间件的严重漏洞添加到其已知已利用漏洞目录中,这意味着该漏洞正在被积极利用。CISA 还表示,这些类型的漏洞是恶意网络参与者的常见攻击媒介,并构成重大风险。
Oracle Access Manager 和 Google Chrome
其中一个漏洞会影响 Google 流行的网络浏览器Chrome。该漏洞由谷歌威胁分析小组的 Clement Lecigne 报告,将在Mac 和Linux版本107.0.5304.121 和 Windows 版本 107.0.5304.121/.122 中进行修补。谷歌表示,该漏洞的利用在野外存在。
CVE-2022-4135 – Google Chrome 堆缓冲区溢出漏洞: Google Chrome GPU包含一个堆缓冲区溢出漏洞,该漏洞允许破坏渲染器进程的远程攻击者可能通过精心制作的 HTML 页面执行沙箱逃逸。
第二个漏洞影响Oracle Access Manager。它的 CVSS 分数为 9.8,影响Oracle Access Manager版本 11.1.2.3.0、12.2.1.3.0 和 12.2.1.4.0。该漏洞允许具有网络访问权限的未经身份验证的第三方破坏并接管 Access Manager 实例。该漏洞已在 2022 年 1 月发布的更新中得到修复。
CVE-2021-35587 – Oracle Fusion Middleware 未指定漏洞: Oracle Fusion Middleware Access Manager 允许未经身份验证的攻击者通过HTTP进行网络访问来接管 Access Manager 产品。
具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险要求 FCEB 机构在截止日期前修复已识别的漏洞,以保护 FCEB 网络免受活跃威胁。尽管 BOD 22-01 仅适用于 FCEB 机构,但 CISA 强烈敦促所有组织通过优先及时修复目录漏洞作为其漏洞管理实践的一部分来减少其遭受网络攻击的风险。
