L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté deux failles de sécurité à sa liste de vulnérabilités connues exploitées (KEV) catalogue, basé sur des preuves d’exploitation active.
Les vulnérabilités sont répertoriées ci-dessous –
- CVE-2012-4792 (Score CVSS : 9,3) – Vulnérabilité de type « Use-After-Free » de Microsoft Internet Explorer
- CVE-2024-39891 (Score CVSS : 5,3) – Vulnérabilité de divulgation d’informations Twilio Authy
CVE-2012-4792 est une vulnérabilité de type « use after free » vieille de dix ans dans Internet Explorer qui pourrait permettre à un attaquant distant d’exécuter du code arbitraire via un site spécialement conçu.
Il n’est pas encore clair si la faille a fait l’objet de nouvelles tentatives d’exploitation, bien qu’elle ait été exploitée dans le cadre d’attaques de type « watering hole » ciblant les sites Web du Council on Foreign Relations (CFR) et de Capstone Turbine Corporation en décembre 2012.
D’autre part, CVE-2024-39891 fait référence à un bug de divulgation d’informations dans un point de terminaison non authentifié qui pourrait être exploité pour « accepter une demande contenant un numéro de téléphone et répondre avec des informations indiquant si le numéro de téléphone a été enregistré auprès d’Authy ».
Plus tôt ce mois-ci, Twilio a déclaré avoir résolu le problème dans les versions 25.1.0 (Android) et 26.1.0 (iOS) après que des acteurs malveillants non identifiés ont profité de la faille pour identifier les données associées aux comptes Authy.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré la CISA. dit dans un avis consultatif.
Les agences du Federal Civilian Executive Branch (FCEB) sont tenues de remédier aux vulnérabilités identifiées d’ici le 13 août 2024, afin de protéger leurs réseaux contre les menaces actives.