Cơ quan an ninh mang Hoa Kỳ (CISA) đã bổ sung lỗ hổng Linux có tên PwnKit vào danh sách lỗ hổng bị khai thác và đưa ra các bằng chứng chứng minh.
Một lỗ hổng leo thang đặc quyền cục bộ cho phép người dùng thực hiện lệnh với tư cách là người dùng khác trong tiện ích pkexec của polkit CVE-2021-4034 (CVSS: 7.8) được phát hiện vào tháng 1/2022. Polkit (trước đây được gọi là PolicyKit) là một bộ công cụ để kiểm soát các đặc quyền trên toàn hệ thống trong các hệ điều hành giống Unix và cung cấp một cơ chế để các quy trình không có đặc quyền giao tiếp với các quy trình đặc quyền.
Việc khai thác thành công lỗ hổng này có thể khiến pkexec thực thi mã tùy ý, cấp quyền quản trị cho kẻ tấn công không có đặc quyền trên máy mục tiêu và làm ảnh hưởng đến máy chủ.
Cũng có trong danh mục là CVE-2021-30533, một thiếu sót về bảo mật trong trình duyệt web dựa trên Chromium đã bị tác nhân đe dọa phát tán mã độc có tên Yosec.
Hơn nữa, cơ quan này đã bổ sung Mitel VoIP zero-day ( CVE-2022-29499 ) mới được tiết lộ cũng như năm lỗ hổng Apple iOS (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020- 3837 và CVE-2021-30983) gần đây đã bị phát hiện là đã bị lạm dụng bởi nhà cung cấp phần mềm gián điệp RCS Lab của Ý.
Theo https://thehackernews.com/