Die **Cybersecurity and Infrastructure Security Agency (CISA)** hat sieben neue Schwachstellen zu ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzugefügt, basierend auf Beweisen für aktive Ausnutzung. Diese Schwachstellen sind häufige Angriffsvektoren für böswillige Cyberakteure und stellen ein erhebliches Risiko für Organisationen dar. ### Neue hinzugefügte Schwachstellen: * **CVE-2008-4250**: **Microsoft Windows** Buffer Overflow Vulnerability * **CVE-2009-1537**: **Microsoft DirectX** NULL Byte Overwrite Vulnerability * **CVE-2009-3459**: **Adobe Acrobat** and Reader Heap-Based Buffer Overflow Vulnerability * **CVE-2010-0249**: **Microsoft Internet Explorer** Use-After-Free Vulnerability * **CVE-2010-0806**: **Microsoft Internet Explorer** Use-After-Free Vulnerability * **CVE-2026-41091**: **Microsoft Defender** Elevation of Privilege Vulnerability * **CVE-2026-45498**: **Microsoft Defender** Denial of Service Vulnerability ### BOD 22-01 und Behebung Die Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities hat den KEV-Katalog als eine lebendige Liste bekannter Common Vulnerabilities and Exposures (CVEs) etabliert, die ein erhebliches Risiko darstellen. BOD 22-01 verlangt von den Behörden des Federal Civilian Executive Branch (FCEB), identifizierte Schwachstellen bis zum Fälligkeitsdatum zu beheben, um FCEB-Netzwerke vor aktiven Bedrohungen zu schützen. [BOD 22-01 Fact Sheet](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf) für weitere Informationen. ### Empfehlung Obwohl BOD 22-01 nur für FCEB-Behörden gilt, fordert die CISA alle Organisationen dringend auf, ihre Anfälligkeit für Cyberangriffe zu reduzieren, indem sie die zeitnahe Behebung von Schwachstellen im KEV-Katalog als Teil ihrer Schwachstellenmanagementpraxis priorisieren. Die CISA wird weiterhin Schwachstellen in den Katalog aufnehmen, die die angegebenen Kriterien erfüllen.