CISA Adiciona Sete Novas Vulnerabilidades ao Catálogo de Vulnerabilidades Exploradas Conhecidas
A **Cybersecurity and Infrastructure Security Agency (CISA)** atualizou seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), adicionando sete novas vulnerabilidades. Essas vulnerabilidades, que afetam **Microsoft Windows**, **Adobe Acrobat** e **Microsoft Defender**, são conhecidas por serem ativamente exploradas em ataques, representando um risco significativo.
A **Cybersecurity and Infrastructure Security Agency (CISA)** adicionou sete novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
Essas vulnerabilidades são vetores de ataque frequentes para agentes cibernéticos maliciosos e representam riscos significativos para as organizações.
### Novas Vulnerabilidades Adicionadas:
* **CVE-2008-4250**: Vulnerabilidade de Buffer Overflow no **Microsoft Windows**
* **CVE-2009-1537**: Vulnerabilidade de Sobrescrita de Byte Nulo no **Microsoft DirectX**
* **CVE-2009-3459**: Vulnerabilidade de Buffer Overflow Baseado em Heap no **Adobe Acrobat** e Reader
* **CVE-2010-0249**: Vulnerabilidade Use-After-Free no **Microsoft Internet Explorer**
* **CVE-2010-0806**: Vulnerabilidade Use-After-Free no **Microsoft Internet Explorer**
* **CVE-2026-41091**: Vulnerabilidade de Elevação de Privilégio no **Microsoft Defender**
* **CVE-2026-45498**: Vulnerabilidade de Negação de Serviço no **Microsoft Defender**
### BOD 22-01 e Remediação
A Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities estabeleceu o Catálogo KEV como uma lista dinâmica de Common Vulnerabilities and Exposures (CVEs) conhecidas que apresentam risco significativo. A BOD 22-01 exige que as agências do Federal Civilian Executive Branch (FCEB) remediem as vulnerabilidades identificadas até a data de vencimento para proteger as redes FCEB contra ameaças ativas.
[BOD 22-01 Fact Sheet](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf) para mais informações.
### Recomendação
Embora a BOD 22-01 se aplique apenas às agências FCEB, a CISA recomenda fortemente que todas as organizações reduzam sua exposição a ataques cibernéticos, priorizando a remediação oportuna das vulnerabilidades do Catálogo KEV como parte de sua prática de gerenciamento de vulnerabilidades. A CISA continuará adicionando vulnerabilidades ao catálogo que atendam aos critérios especificados.