Heti újdonságok a CISA katalógusában
Az Amerikai Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) a héten többek között a PwnKit Linuxot célzó sérülékenységet vette fel ismert és kihasznált sérülékenységi katalógusába, az aktív kihasználásra hivatkozva.
A CVE-2021-4034 (CVSS: 7,8) jelzésű sérülékenységet 2022 januárjában azonosították, és a Polkit pkexec segédprogramjában a helyi jogosultságok kihasználását teszi lehetővé azáltal, hogy más felhasználóként parancsokat hajtsanak végre. A Polkit (korábbi PolicyKit) egy eszközkészlet a Unix-szerű operációs rendszerek rendszerszintű jogosultságainak vezérlésére.
Ezenkívül az CISA hozzáadta a Mitel VoIP nulladik napi sérülékenységét (CVE-2022-29499), valamint öt Apple iOS azonosított sérülékenységet (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020-3837 és CVE-2021-30983), amelyekről a közelmúltban derült ki, hogy az olasz spyware-gyártó, az RCS Lab visszaélt velük.