美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 内核、Mozilla Firefox 和 SolarWinds Web Help Desk 漏洞。

美国网络安全和基础设施安全局 (CISA) 在其已知漏洞 (KEV) 目录中添加了以下漏洞：

• CVE-2024-30088 (CVSS 得分为 7.0) Microsoft Windows 内核 TOCTOU 竞赛条件漏洞
• CVE-2024-9680 Mozilla Firefox Use-After-Free 漏洞
• CVE-2024-28987 (CVSS 得分 9.1) SolarWinds Web Help Desk 硬编码凭证漏洞

攻击者可利用漏洞 CVE-2024-30088 获得 SYSTEM 权限。成功利用此漏洞需要攻击者赢得竞赛条件。

上周，Mozilla 为 Firefox 浏览器发布了一个紧急安全更新，以解决在攻击中被积极利用的关键免用漏洞 CVE-2024-9680。

CVE-2024-9680 漏洞存在于动画时间轴中。Firefox 动画时间轴是 Firefox 开发人员工具套件中的一项功能，允许开发人员直接在浏览器中检查、编辑和调试动画。它提供了一个可视化界面来管理动画，包括 CSS 动画和过渡效果，以及使用 Web Animations API 创建的动画。

攻击者可利用此漏洞在内容进程中执行代码。

SolarWinds 于 8 月份解决了 CVE-2024-28987 漏洞，该漏洞可允许未经身份验证的远程攻击者在未经授权的情况下访问易受攻击的实例。

SolarWinds 将 WHD 描述为一款经济实惠的帮助台票务和资产管理软件，被大型企业和政府组织广泛使用。

该公司发布的公告中写道：“SolarWinds Web Help Desk (WHD) 软件受到一个硬编码凭证漏洞的影响，允许未经身份验证的远程用户访问内部功能和修改数据。”

根据具有约束力的操作指令 (BOD) 22-01： 减少已知漏洞被利用的重大风险》，联邦经济与商业委员会各机构必须在规定日期前解决已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私营机构审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 11 月 5 日前修复该漏洞。