美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。
美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞：

CVE-2024-43047 高通多个芯片组使用后免费漏洞
CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞
CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞
高通公司本周解决了其产品中的 20 个漏洞，其中包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “使用后免费”（use-after-free）错误。

该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。

“目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配，则可能导致免费使用（UAF）漏洞。“作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。

谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。

谷歌威胁分析小组称，CVE-2024-43047 可能正受到有限的、有针对性的利用，Wang 也证实了野外活动。

研究人员还没有公布利用 CVE-2024-43047 的攻击细节，但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。

关于CISA添加到KEV目录中的微软漏洞，IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。

微软证实，这两个问题正在被恶意利用。

CVE-2024-43572 (CVSS score: 7.8) – 微軟管理控制台遠端執行程式碼漏洞： 如果用户加载恶意的 MMC snap-in，Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限，但管理员应立即应用更新以减轻潜在危害。
CVE-2024-43573（CVSS 得分：6.5）- Windows MSHTML 平台欺骗漏洞： 尽管该漏洞被评为中度，但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善，因此建议及时测试和部署此更新。
根据约束性操作指令 (BOD) 22-01： 减少已知漏洞被利用的重大风险》，FCEB 机构必须在规定日期前处理已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私营机构审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。