215/67 (IT) ประจำวันอังคารที่ 18 มิถุนายน 2567
หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ Android Pixel, Microsoft Windows, Progress Telerik Report Server จำนวนสามรายการลงในแคตตาล็อก Known Exploited Vulnerabilities ( KEV )
– CVE-2024-32896 เป็นช่องโหว่การยกระดับสิทธิ์ใน Pixel Firmware ของ Android ซึ่งถูกใช้ประโยชน์ในลักษณะ Zero-day แล้ว
– CVE-2024-26169 เป็นช่องโหว่การยกระดับสิทธิ์ใน Microsoft Windows Error Reporting Service ซึ่งสามารถถูกใช้เพื่อให้ได้สิทธิ์ SYSTEM
– CVE-2024-4358 เป็นช่องโหว่ Bypass Authentication ใน Telerik Report Server ที่ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถใช้ประโยชน์เพื่อเข้าถึงฟังก์ชันที่ถูกจำกัด
เพื่อลดความเสี่ยงของช่องโหว่ หน่วยงานภายใต้การกำกับดูแล Federal Civilian Executive Branch (FCEB) จะต้องแก้ไขช่องโหว่ที่ระบุภายในวันที่กำหนด เพื่อป้องกันการโจมตีและการใช้ประโยชน์จากช่องโหว่ ผู้เชี่ยวชาญแนะนำให้หน่วยงานเอกชนตรวจสอบแคตตาล็อกดังกล่าวเพื่อแก้ไขช่องโหว่ด้วยเช่นกัน โดยทาง CISA ได้กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 4 กรกฎาคม 2024
