Nové zranitelnosti v katalogu CISA KEV – vydání 21, druhá dávka
CISA přidala 20. května sedm dalších záznamů do katalogu Known Exploited Vulnerabilities. Nápadná je přítomnost pěti letitých zranitelností z let 2008–2010, které jsou – přes svůj věk – opět aktivně zneužívány.
Sedm nových záznamů přidaných 20. 5. 2026 přináší neobvyklou kombinaci: pět CVE pochází z let 2008–2010, tedy ze softwaru, který je buď již dlouho záplatovaný, nebo zcela mimo podporu. Přesto CISA jejich přidání podložila důkazy o aktivním zneužívání, což naznačuje, že útočníci stále nacházejí prostředí s neopravenými staršími instalacemi.
CVE-2008-4250 postihuje Windows Server Service (CVSS 10,0 dle v2). Zranitelnost spočívá v přetečení vyrovnávací paměti při zpracování speciálně upraveného RPC požadavku. Vzdálený útočník může bez ověření spustit libovolný kód na cílovém systému. Záplata MS08-067 existuje od října 2008 a je součástí tzv. Patch Tuesday od téhož roku. Postižené systémy je nutné aktualizovat nebo z provozu vyřadit.
CVE-2009-1537 se týká komponenty DirectShow v Microsoft DirectX, konkrétně filtru pro parsování souborů QuickTime (quartz.dll). Zápisem nulového bajtu na nesprávné místo v paměti může dojít ke vzdálenému spuštění kódu přes podvrhnutý mediální soubor. Záplata MS09-028 je k dispozici od června 2009.
CVE-2009-3459 je zranitelností přetečení haldy v Adobe Acrobat a Reader. Útočník může vložit škodlivý kód do upraveného PDF souboru, který po otevření ohrožené verze čtečky spustí libovolný kód. Adobe vydalo záplatu v rámci bulletinu APSB09-15 v říjnu 2009. Uživatelé verzí bez aktuální podpory by měli přejít na nejnovější vydání Acrobat Reader.
CVE-2010-0249 a CVE-2010-0806 jsou dvě zranitelnosti typu use-after-free v Internet Exploreru. Obě umožňují vzdálené spuštění kódu prostřednictvím škodlivé webové stránky, kde útočník manipuluje s ukazatelem na již smazaný objekt v paměti. Internet Explorer je od roku 2022 zcela bez podpory – organizace, které jej stále provozují, jsou vystaveny trvalému riziku bez možnosti záplaty. Doporučeným opatřením je okamžité nahrazení jiným prohlížečem.
CVE-2026-41091 zasahuje Microsoft Defender a jde o zranitelnost typu „link following" (sledování symbolického odkazu). Autorizovaný místní útočník ji může zneužít k eskalaci oprávnění na cílovém systému. Záplata je součástí aktualizace Defenderu vydané v rámci Patch Tuesday v květnu 2026.
CVE-2026-45498 je druhá zranitelnost v Microsoft Defenderu – tentokrát umožňuje odepření služby (denial of service). Přesný mechanismus není v aktuálně dostupném popisu upřesněn, závažnost je však dostatečná na to, aby si ji CISA zařadila mezi aktivně zneužívané. Záplata je rovněž součástí aktualizace z Patch Tuesday v květnu 2026.
Přidání starých CVE do katalogu KEV je signálem, že bezpečnostní komunita identifikovala jejich aktivní využití v probíhajících útocích. Nejčastějším vysvětlením je zneužití zastaralých instancí softwaru v prostředích, kde se aktualizace z provozních důvodů odkládají – průmyslové řídicí systémy, starší servery nebo systémy po skončení podpory. Lhůta pro nápravu u federálních úřadů USA je stanovena na 3. 6. 2026.
Další články
Belgický dozorový úřad uložil pokutu 120 000 eur za záměnu role správce a zpracovatele osobních údajů
Nové zranitelnosti v katalogu CISA KEV – vydání 21, druhá dávka
