CISA - четыре новых уязвимости попали в каталог активно эксплуатируемых КЕВ

Вот список выявленных угроз:

• CVE-2026-2441: проблема использования памяти после освобождения («use-after-free») в браузере Google Chrome. Атака предполагает потенциальное повреждение динамической области памяти («heap corruption»), вызванное специально сформированным HTML-документом.
• CVE-2024-7694: баг загрузки файлов произвольного содержимого в антивирусном ПО TeamT5 ThreatSonar версии 3.4.5 и ниже. Данная ошибка позволяет загружать вредоносные файлы и запускать команды на сервере.
• CVE-2020-7796: межсайтовая подделка запросов (Server-Side Request Forgery — SSRF) в корпоративном пакете почтовых решений Synacor Zimbra Collaboration Suite (ZCS). Через такую атаку возможно получение несанкционированного доступа к внутренним ресурсам.
• CVE-2008-0015: классическое переполнение буфера стека в компоненте Microsoft Windows Video ActiveX Control. Этот дефект позволяет злоумышленнику инициировать исполнение произвольного кода путем посещения специальной страницы.

Согласно данным CISA, угроза CVE-2026-2441 была включена в каталог вскоре после признания Google факта наличия рабочей атаки против данной проблемы. Информация о методах эксплуатации зачастую скрывается до массового обновления программного обеспечения.

По поводу CVE-2020-7796 известно, что в марте 2025 года компания GreyNoise зафиксировала активность около 400 IP-адресов, использовавших этот недостаток для взлома систем в разных странах мира, включая Германию, Индию, Японию и Литву.

Microsoft предупредила, что эксплуатация CVE-2008-0015 используется для распространения червя Dogkild, распространяемого через съемные носители. Этот вирус способен скачивать и исполнять дополнительный вредоносный код, уничтожать системные файлы, завершать защитные процессы и вносить изменения в файл hosts операционной системы.

Способы эксплуатации бреши в TeamT5 ThreatSonar остаются неизвестными, однако федеральные ведомства настоятельно рекомендуют устранить данную проблему не позднее марта 2026 года.