Estas duas falhas podem ser exploradas por um atacante remoto e de forma não autenticada.

--> CVE-2018-15453: falha dada como crítica, é um problema de corrupção de memória que pode ser provocado pela validação incorreta nos emails assinados com a encriptação S/MIME (Secure/Multipurpose Internet Mail Extensions). O atacante pode enviar um email neste formato especialmente criado para produtos vulneráveis e fazer com que o dispositivo reinicie, levando a uma condição de negação de serviço. Mesmo quando o dispositivo reiniciar, a negação de serviço permanece lá, porque o dispositivo vai continuar a tentar processar o mesmo email, o que signfica que para corrigir isto, é necessário uma reparação manual.

--> CVE-2018-15460: problema dado como tendo severidade alta. Afeta a funcionalidade de filtragem de mensagem do software AsyncOS. A falha pode ser explorada por um atacante de forma a causar uma condição também de negação de serviço obtendo o uso de 100% do CPU. O atacante pode provocar o problema através do envio de um email com uma grande quantidade de URL's whitelisted. Também aqui acontece o facto de que, mesmo que o dispositivo reinicie, a condição de negação de serviço irá continuar; o dispositivo pára de analisar e fazer forward de mensagens de email.

De momento, não existem quaisquer evidências de que as vulnerabilidades tenham sido exploradas.

Advisory oficial para o problema de corrupção de memória: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190109-esa-dos

Advisory oficial para o problema de filtragem do URL: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190109-esa-url-dos

Podem encontrar as versões corrigidas em cada página dos Advisories, de forma a poderem fazer as respetivas atualizações.