【安全资讯】CISA警告：发现针对微软和Twilio Authy的关键漏洞

概要：

美国网络安全和基础设施安全局（CISA）发布紧急警告，指出微软Internet Explorer和Twilio Authy存在两个被积极利用的漏洞。这些漏洞分别为CVE-2012-4792和CVE-2024-39891，给用户和组织带来了重大风险。

主要内容：

第一个漏洞CVE-2012-4792（CVSS评分9.3）是一个十年前的“使用后释放”漏洞，影响微软Internet Explorer 6至8版本。尽管这些版本已经过时，但在遗留系统中的持续使用使其成为攻击者的目标。成功利用该漏洞可能导致远程代码执行，使攻击者能够控制受影响的系统。

第二个漏洞CVE-2024-39891（CVSS评分5.3）影响Twilio Authy，这是一款广泛使用的双因素认证（2FA）应用程序。该漏洞允许未经授权访问电话号码数据，可能帮助恶意行为者进行有针对性的钓鱼（smishing）和SIM卡交换攻击。尽管已经发布了补丁，但泄露的数据仍然令人担忧，因为它可能被用于恶意目的。

CISA已将这两个漏洞添加到其已知被利用漏洞（KEV）目录中，强调了其积极利用的情况和紧急修复的必要性。联邦机构已被要求在2024年8月13日之前修补其系统。CISA建议用户和组织立即应用最新的安全更新，禁用旧版浏览器，启用强密码和多因素认证，并密切监控财务和敏感账户的可疑活动。

这些漏洞的发现和利用表明，尽管技术在不断进步，遗留系统和应用程序的安全性仍然是一个重大挑战。用户和组织必须保持警惕，及时更新和修补系统，以防止潜在的安全威胁。