Топ популярных ПО-уязвимостей от CISA

Агентство по кибербезопасности и защите инфраструктуры при Министерстве внутренней безопасности США (CISA) и Федеральное бюро расследований опубликовали список из десяти уязвимостей в ПО, чаще всего эксплуатировавшихся в 2016-2019 годах. В нём – уязвимости использовавшиеся как «госхакерами», так и рядовыми киберпреступниками.

Согласно отчету агентства, в отличие от уязвимостей нулевого дня, для эксплуатации этих уязвимостей требуется меньше ресурсов: «Согласованная кампания по исправлению этих уязвимостей помешала бы методам работы иностранных противников и вынудила бы их разрабатывать или приобретать более дорогостоящие и менее эффективные эксплоиты».

 

Чаще прочих в 2016-2019 года эксплуатировались следующие уязвимости:

  • CVE-2017-11882: присутствует в редакторе формул Microsoft Equation и затрагивает продукты Microsoft Office. Была исправлена Microsoft в ноябре 2017 года;
  • CVE-2017-0199: затрагивает Microsoft Office и позволяет выполнить произвольный код, загрузить вредонос и получить контроль над устройством жертвы. Была исправлена Microsoft в апреле 2017 года;
  • CVE-2017-5638 : уязвимость выполнения произвольного кода в Apache Struts. Была исправлена компанией Oracle в сентябре 2017 года;
  • CVE-2012-0158 : уязвимость выполнения произвольного кода в компоненте Microsoft ActiveX Common Control ОС Windows. Была исправлена Microsoft в апреле 2012 года;
  • CVE-2019-0604 : затрагивает Microsoft SharePoint и была исправлена в феврале 2019 года;
  • CVE-2017-0143: ошибка несоответствия используемых типов данных (type confusion) между WriteAndX и запросами транзакций. Затрагивает Microsoft Windows и была исправлена в марте 2017 года;
  • CVE-2018-4878 : уязвимость выполнения произвольного кода в Adobe Flash Player. Была исправлена в феврале 2018 года;
  • CVE-2017-8759: уязвимость выполнения произвольного кода в .NET Framework. Была исправлена в сентябре 2017 года;
  • CVE-2015-1641: уязвимость выполнения произвольного кода в Microsoft Windows. Была исправлена Microsoft в апреле 2015 года;
  • CVE-2018-7600 : уязвимость выполнения произвольного кода в Drupal. Была исправлена в марте 2018 года.

13 мая, 2020

Смотрите также

В Сети продают клиентскую базу СДЭК

13 мая, 2020

LiveJournal скрывает утечку

13 мая, 2020

Производителя банкоматов Diebold атаковали

13 мая, 2020

Хакер-тинейджер похитил 24 миллиона долларов в криптовалюте

13 мая, 2020

В РФ выросло число эпизодов мошенничества с кредитными историями

12 мая, 2020

В дарквебе найдена база данных WeLeakData

12 мая, 2020

Тест-режим мобильного банка для фрилансеров от «Точки»

12 мая, 2020

На горизонте персональный QR-код для оплаты в СБП

12 мая, 2020

Почему упали «Госуслуги»

12 мая, 2020

Безопасная разработка

- Безопасная разработка эволюция по ГОСТу -

Читалка

28.11.2025 ФСТЭК России опубликованы «Рекомендации по базовой настройке механизмов безопасности почтовых сервисов от атак, связанных с подменой отправителя (спуфинг-атак)».

17 февраля, 2026

05.12.2025 ФСТЭК России опубликованы «Рекомендации по настройке механизмов безопасности почтового сервера, созданного с использованием программного обеспечения с открытым исходным кодом Exim, от атак, связанных с подменой отправителя (спуфинг-атак)».

17 февраля, 2026

Банком России опубликовал сведения об основных типах компьютерных атак в кредитно-финансовой сфере в 2025 году

13 февраля, 2026

09.02.2026 ФСТЭК России опубликованы «Рекомендации по устранению типовых ошибок конфигурации (настройки) общесистемного и прикладного программного обеспечения».

9 февраля, 2026

Опубликовано Постановление Правительства РФ №92 «Об утверждении отраслевых особенностей категорирования объектов КИИ РФ в банковской сфере и иных сферах финансового рынка»

7 февраля, 2026

Опубликован приказ Минцифры №45 «Об утверждении перечня нормативных правовых актов (их отдельных положений), содержащих обязательные требования, оценка соблюдения которых осуществляется в рамках федерального государственного контроля (надзора) в сфере электронной подписи и привлечения к административной ответственности за нарушение обязанностей, предусмотренных законодательством РФ в области электронной подписи»

3 февраля, 2026

Опубликован приказ Минцифры №49 «О внесении изменений в приказ Минцифры №69 "Об утверждении перечней нормативных правовых актов (их отдельных положений), содержащих обязательные требования, оценка соблюдения которых осуществляется в рамках государственного контроля (надзора), привлечения к административной ответственности в сферах электронной подписи и идентификации и (или) аутентификации"»

3 февраля, 2026

Календарь мероприятий

Новый номер

- BIS Journal №1(60)2026 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

05.03.2026
Безопасники: Проверка на возраст социально неприемлема
05.03.2026
ИИ помогает хакерам наблюдать за экраном смартфона жертвы
04.03.2026
Россияне уже возвращают цифровые рубли государству
04.03.2026
«Информация о распространении вируса в MAX не соответствует действительности»
04.03.2026
Компания «Маск Сэйф» защитила ИТ-инфраструктуру с помощью SIEM от «СёрчИнформ»
04.03.2026
OpenAI станет прямым конкурентом своего же акционера?
04.03.2026
ИИ деанонимизирует людей по малозначительным деталям
04.03.2026
Мнение: Разнообразие платёжных сервисов вызывает усталость
03.03.2026
Обналичивание — возможность для скамеров разорвать цифровой след
03.03.2026
К 2030 году 80% промсектора должно импортозаместить ПО

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2026гг.