CISA เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ .NET, Visual Studio ลงใน Known Exploited Vulnerabilities Catalog

372/66 (IT) ประจำวันศุกร์ที่ 11 สิงหาคม 2566

US Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐฯ ได้เพิ่มช่องโหว่ Zero-day ที่หมายเลข CVE-2023-38180 (คะแนน CVSS 7.5) ที่ส่งผลกระทบต่อ .NET และ Visual Studio ของ Microsoft ลงใน Known Exploited Vulnerabilities Catalog ซึ่งช่องโหว่ดังกล่าวสามารถถูก exploit เพื่อใช้สำหรับการโจมตีแบบ denial-of-service (DoS) โดยที่ Microsoft ได้แก้ไขด้วยการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 และ Microsoft ยืนยันว่าระบบที่มีช่องโหว่สามารถถูกโจมตีได้ไม่จำเป็นที่ต้องมีการโต้ตอบจากผู้ใช้   

Microsoft ไม่ได้เปิดเผยถึงรายละเอียดเกี่ยวกับการโจมตีของช่องโหว่ดังกล่าว แต่ช่องโหว่นี้มีผลกระทบต่อ Visual Studio 2022 เวอร์ชัน 17.2, 17.4 และ 17.6 รวมถึง .NET 6.0 และ 7.0 และ ASP[.]NET Core 2.1 ตามคำสั่ง Binding Operational Directive 22-01 ซึ่งหน่วยงาน FCEB จะต้องแก้ไขช่องโหว่ภายในวันที่กำหนดเพื่อป้องกันเครือข่ายถูกใช้ประโยชน์จากช่องโหว่ในการโจมตี และ CISA สั่งให้หน่วยงานของรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 30 สิงหาคม 2023

แหล่งข่าว ( https://securityaffairs.com/149382/security/cisa-known-exploited-vulnerabilities-catalog-cve-2023-38180.html )