CISA新增六个已知漏洞，重点在Apple字体漏洞

关键要点

• CISA公布了六个新的已知被利用漏洞（KEV）。
• 最引人注目的漏洞是CVE-2023-41990，这是一个高严重性的远程代码执行漏洞，涉及Apple特有的ADJUST字体指令。
• 该漏洞是“Operation Triangulation”攻击的核心，攻击者利用恶意iMessage对目标iPhone发起远程攻击。
• 其他漏洞包括Adobe ColdFusion和D-Link产品中的安全缺陷。

近日，美国网络安全和基础设施安全局（CISA）在周一增加了六个新的漏洞到其已知被利用漏洞（KEV）目录中。其中，最引人注意的是，这是一个高严重性的远程代码执行（RCE）漏洞，影响Apple独有的ADJUSTTrueType字体指令。这个漏洞在启动所谓的“Operation Triangulation”攻击中扮演了重要角色。

根据
12月28日的报道，这些攻击是通过向目标iPhone发送包含恶意附件的iMessage发起的，用户对此完全不知情。当攻击链完成后，攻击者能够完全控制目标设备，进行各种间谍活动，包括将手机内容传输到他们的服务器。尽管当设备重启后间谍软件会被清除，但攻击者仍可以重新加载恶意软件，再次控制设备。

另外，Apache的漏洞也是一项重要的安全问题，严重性评分为9.8，由Horizon3.ai发现，已纳入KEV目录中。

根据，此漏洞源于使用应用生成的默认SECRET_KEY配置。研究人员表示，使用该密钥并不安全，因为它是公众可获取的，攻击者能够轻易发现。一旦获得密钥，攻击者可以生成一个cookie并使用该密钥对其进行签名，从而获得未授权的应用访问权限。

对此漏洞，Horizon3.ai的开发人员，防止服务器在使用默认SECRET_KEY配置时启动。

以下是CISA KEV目录中的其他漏洞：

漏洞编号 | 描述
—|—
| Adobe ColdFusion反序列化不受信数据漏洞，可能导致任意代码执行。
| Adobe ColdFusion反序列化不受信数据漏洞，同样可能导致任意代码执行。
| D-Link DSL-2750B设备命令注入漏洞，可能允许通过login.cgi cli参数进行远程未授权命令注入，此漏洞在2016至2022年间被广泛利用。
| Joomla!不当访问控制漏洞，不当访问检查允许未授权访问Web服务端点。

确保关注这些漏洞并采取必要措施，以保护您的系统免受潜在威胁。