CISA đã gia hạn đến ngày 23/01/2024 cho các cơ quan liên bang áp dụng các biện pháp để giảm thiểu tác động của hai lỗ hổng CVE-2023-7024 và CVE-2023-7101.
Lỗ hổng đầu tiên được CISA thêm vào KEV là CVE-2023-7101, một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản dưới 0.65 của thư viện Spreadsheet::ParseExcel. Các nhà nghiên cứu cho biết lỗ hổng này xảy ra do việc truyền dữ liệu không được xác thực từ một tệp vào một string-type “eval”, bắt nguồn từ việc đánh giá các chuỗi định dạng số trong logic phân tích cú pháp Excel.
Một sản phẩm sử dụng thư viện nguồn mở này là Barracuda ESG (Email Security Gateway), đã bị tin tặc khai thác lỗ hổng CVE-2023-7101 trong bảng tính ParseExcel để xâm phạm các thiết bị vào cuối tháng 12/2023. Barracuda nhận định rằng các tác nhân đe dọa đã lợi dụng lỗ hổng này để triển khai phần mềm độc hại SeaSpy và Saltwater. Công ty bảo mật này đã áp dụng các biện pháp giảm thiểu cho ESG vào ngày 20/12/2023 và bản cập nhật bảo mật giải quyết lỗ hổng CVE-2023-7101 đã được phát hành vào ngày 29/12/2023 với phiên bản Spreadsheet::ParseExcel 0,66.
Lỗ hổng mới nhất được thêm vào KEV là CVE-2023-7024, đây là sự cố tràn bộ đệm heap trong WebRTC trong trình duyệt web Google Chrome. Theo mô tả lỗ hổng của CISA, Google Chrome WebRTC là một dự án nguồn mở cung cấp cho các trình duyệt web khả năng giao tiếp theo thời gian thực, có chứa lỗ hổng tràn bộ đệm heap cho phép kẻ tấn công gây ra sự cố hoạt động hoặc thực thi mã. Lỗ hổng có thể ảnh hưởng đến các trình duyệt web sử dụng WebRTC, bao gồm cả Google Chrome.
Lỗ hổng này được Nhóm phân tích mối đe dọa (TAG) của Google phát hiện và được vá thông qua bản cập nhật khẩn cấp vào ngày 20/12/2023, trong phiên bản 120.0.6099.129/130 cho Windows và 120.0.6099.129 cho Mac và Linux. Đây là lỗ hổng zero-day thứ tám mà Google đã vá trong Chrome vào năm 2023, nhấn mạnh việc tin tặc chú ý và dành thời gian cho việc tìm kiếm và khai thác các lỗ hổng trong trình duyệt web được sử dụng rộng rãi.
Để giảm thiểu các nguy cơ tiềm ẩn, các chuyên gia bảo mật khuyến cáo người dùng nên nhanh chóng cập nhật bản vá cho các sản phẩm đang sử dụng càng sớm càng tốt ngay sau khi chúng có sẵn.
Bá Phúc
(Theo Bleepingcomputer)
09:00 | 24/11/2023
09:00 | 04/03/2024
13:00 | 19/03/2024
14:00 | 19/12/2023
16:00 | 18/12/2023
16:00 | 19/04/2024
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
11:00 | 04/04/2024
Kết quả điều tra xử lý các sự cố tấn công mã độc tống tiền (ransomware) cho thấy, phương thức, thủ đoạn của nhóm tội phạm hết sức tinh vi, nguy hiểm, kịch bản tấn công có nhiều điểm tương đồng.
10:00 | 19/03/2024
Làn sóng khởi nghiệp về Trí tuệ nhân tạo (AI) đang dần nóng lên trong cuộc chiến giành nhân tài ở châu Âu, khiến các công ty như Google DeepMind phải đưa ra lựa chọn giữa việc trả mức lương hấp dẫn hoặc đánh mất những bộ óc giỏi nhất của công ty mình.
10:00 | 01/03/2024
Trong tháng 3 này, các đoàn thể của Tạp chí An toàn thông tin sẽ đồng hành cùng Đội sinh viên làm Công tác xã hội (Đội SVLCTXH) trường Đại học Khoa học Xã hội và Nhân văn - ĐHQG Hà Nội tổ chức Chiến dịch Đông ấm 2023 - Xuân tình nguyện 2024 “Khơi nguồn yêu thương” nhằm xây dựng giếng nước giúp đỡ 117 em học sinh tại điểm Trường Mầm non Phú Xuân, xã Phú Xuân, huyện Quan Hóa, tỉnh Thanh Hóa.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024