Warum sehe ich I einen starken Anstieg mit potenziellen Fehlalarmen für UTID: 38249?
7117
Created On 02/18/22 18:25 PM - Last Modified 03/02/23 02:32 AM
Question
Warum sehe ich I einen starken Anstieg mit potenziellen Fehlalarmen für UTID: 38249?
Answer
UTID: 38249 wurde ursprünglich am 2015-08-25 veröffentlicht, um Schutz vor CVE-2015-1692 zu bieten. Dies CVE war eine kritische Sicherheitsanfälligkeit in Internet Explorer 6-11. Am 03.02.2022 wurde mit dem Content Update 8523 eine Überarbeitung der Signatur veröffentlicht.
Kunden berichten von einem starken Anstieg der JS Skripte, die von den firewall als Fehlalarme blockiert werden. Palo Alto Networks forscht an der Veröffentlichung einer 911-Version, um diese Signatur zu deaktivieren.
Wenn ein Kunde ein falsches Positiv für diese Signatur meldet, kann er eine Bedrohungsausnahme implementieren, um gültigen Datenverkehr zuzulassen. Da es sich um eine Schwachstellensignatur handelt, kann die Ausnahme nur an vertrauenswürdige IPs angeheftet werden. Im folgenden Dokument werden Bedrohungsausnahmen beschrieben.
Bedrohungsausnahmen erstellen
UPDATE: A Die geänderte Version von UTID 38249 wurde am 18.03.2021 im 911-Inhaltsupdate Version 8530 veröffentlicht.
Additional Information
Referenzen:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2015/ms15-043?redirectedfrom=MSDN
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1692