据外媒,近日美国网络安全和基础设施安全局在已知可利用漏洞(Known Exploited Vulnerabilities)目录下新增了2个新的漏洞。其中1个漏洞存在于Windows Support Diagnostic Tool (MSDT),并以零日的形式存在2年多时间,有充足的证据表明被黑客利用。
这两个安全漏洞都被标记为高严重性评分,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。
其中第一个漏洞被官方跟踪为CVE-2022-34713,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。
添加到 CISA 的 Known Exploited Vulnerabilities 目录的第二个漏洞被跟踪为 CVE-2022-30333,它是 Linux 和 Unix 系统的 UnRAR 实用程序中的路径遍历错误。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置,从而在目标系统上植入恶意文件。