¿Por qué estoy I viendo un gran aumento con posibles falsos positivos paraUTID: 38249?
7095
Created On 02/18/22 18:25 PM - Last Modified 03/02/23 02:32 AM
Question
¿Por qué estoy I viendo un gran aumento con posibles falsos positivos paraUTID: 38249?
Answer
UTID: 38249 se lanzó originalmente en 2015-08-25 para proporcionar protección contra CVE-2015-1692. Esta CVE fue una vulnerabilidad crítica dentro de Internet Explorer 6-11. El 2022-02-03 se publicó una revisión de la firma con Content Update 8523.
Los clientes están reportando un fuerte aumento en JS Script siendo bloqueado por los firewall falsos positivos. Palo Alto Networks está investigando la liberación de una versión 911 para desactivar esta firma.
Si un cliente informa de un falso positivo para esta firma, puede implementar una excepción de amenaza para permitir un tráfico válido. Dado que se trata de una firma de vulnerabilidad, la excepción se puede fijar solo a las IP de confianza. En el siguiente documento se describen las excepciones a amenazas.
Crear excepciones de amenazas
UPDATE: A la versión modificada de 38249 se publicó en la versión 8530 de la actualización de contenido 911 UTID el 18/03/2021.
Additional Information
Referencias:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2015/ms15-043?redirectedfrom=https://cve.mitre.org/cgi-bin/cvename.cgi?name=MSDN
CVE-2015-1692