Ghidra là công cụ được phát triển bởi Tổng cục nghiên cứu của NSA nhằm mục đích phân tích phần mềm độc hại. Công cụ này hỗ trợ được nhiều nền tảng như: Windows, macOS và Linux. Ghidra bắt đầu được cung cấp dưới dạng mã nguồn mở từ đầu năm 2019.
Vào cuối tháng 9/2019, các nhà nghiên cứu bảo mật đã phát hiện lỗ hổng trong công cụ Ghidra cho phép tin tặc tấn công thực thi mã tùy ý trong phạm vi ứng dụng bị ảnh hưởng. Lỗ hổng được định danh CVE-2019-16941 với số điểm CVSS là 9.8. Lỗ hổng này được xếp hạng mức độ nghiêm trọng cao.
Theo khuyến cáo, lỗ hổng chỉ bị kích hoạt khi chế độ thử nghiệm được bật, tồn tại trong tính năng đọc tệp XML của Bit Formd Explorer và có thể bị khai thác thông qua các tài liệu XML đã bị sửa đổi. Cụ thể là tại tệp tin FileBitPatternInfoReader.java tại đường dẫn Features/BytePatterns/src/main/java/ghidra/bitpatterns/info.
Lỗ hổng được khai thác bằng tệp XML được tạo bởi DumpFunctionPotypeInfoScript, nhưng sau đó được sửa đổi trực tiếp bởi tin tặc (ví dụ, để thực hiện hành vi gọi hàm java.lang.Runtime.exec).
Theo thông tin được NSA đăng trên Twitter, các điều kiện cần thiết để khai thác thành công lỗ hổng này khó có thể đạt được trong thực tế. Do đó, lỗ hổng này không phải là vấn đề nghiêm trọng, miễn là người dùng Ghidra không chấp nhận tệp XML từ các nguồn không xác định.
Cơ quan này cũng tiết lộ rằng, bản vá sẽ được phát hành trong phiên bản Ghidra 9.1, hiện đang trong giai đoạn thử nghiệm.
M.C
Security Week
10:00 | 08/10/2019
08:00 | 02/10/2019
10:00 | 04/12/2019
09:00 | 25/09/2019
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024