CISA đã gia hạn đến ngày 23/01/2024 cho các cơ quan liên bang áp dụng các biện pháp để giảm thiểu tác động của hai lỗ hổng CVE-2023-7024 và CVE-2023-7101.
Lỗ hổng đầu tiên được CISA thêm vào KEV là CVE-2023-7101, một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản dưới 0.65 của thư viện Spreadsheet::ParseExcel. Các nhà nghiên cứu cho biết lỗ hổng này xảy ra do việc truyền dữ liệu không được xác thực từ một tệp vào một string-type “eval”, bắt nguồn từ việc đánh giá các chuỗi định dạng số trong logic phân tích cú pháp Excel.
Một sản phẩm sử dụng thư viện nguồn mở này là Barracuda ESG (Email Security Gateway), đã bị tin tặc khai thác lỗ hổng CVE-2023-7101 trong bảng tính ParseExcel để xâm phạm các thiết bị vào cuối tháng 12/2023. Barracuda nhận định rằng các tác nhân đe dọa đã lợi dụng lỗ hổng này để triển khai phần mềm độc hại SeaSpy và Saltwater. Công ty bảo mật này đã áp dụng các biện pháp giảm thiểu cho ESG vào ngày 20/12/2023 và bản cập nhật bảo mật giải quyết lỗ hổng CVE-2023-7101 đã được phát hành vào ngày 29/12/2023 với phiên bản Spreadsheet::ParseExcel 0,66.
Lỗ hổng mới nhất được thêm vào KEV là CVE-2023-7024, đây là sự cố tràn bộ đệm heap trong WebRTC trong trình duyệt web Google Chrome. Theo mô tả lỗ hổng của CISA, Google Chrome WebRTC là một dự án nguồn mở cung cấp cho các trình duyệt web khả năng giao tiếp theo thời gian thực, có chứa lỗ hổng tràn bộ đệm heap cho phép kẻ tấn công gây ra sự cố hoạt động hoặc thực thi mã. Lỗ hổng có thể ảnh hưởng đến các trình duyệt web sử dụng WebRTC, bao gồm cả Google Chrome.
Lỗ hổng này được Nhóm phân tích mối đe dọa (TAG) của Google phát hiện và được vá thông qua bản cập nhật khẩn cấp vào ngày 20/12/2023, trong phiên bản 120.0.6099.129/130 cho Windows và 120.0.6099.129 cho Mac và Linux. Đây là lỗ hổng zero-day thứ tám mà Google đã vá trong Chrome vào năm 2023, nhấn mạnh việc tin tặc chú ý và dành thời gian cho việc tìm kiếm và khai thác các lỗ hổng trong trình duyệt web được sử dụng rộng rãi.
Để giảm thiểu các nguy cơ tiềm ẩn, các chuyên gia bảo mật khuyến cáo người dùng nên nhanh chóng cập nhật bản vá cho các sản phẩm đang sử dụng càng sớm càng tốt ngay sau khi chúng có sẵn.
Bá Phúc
(Theo Bleepingcomputer)
09:00 | 24/11/2023
09:00 | 04/03/2024
13:00 | 19/03/2024
14:00 | 19/12/2023
16:00 | 18/12/2023
14:00 | 01/03/2024
Trong thời đại kỹ thuật số, dữ liệu cá nhân và bí mật công ty luôn là mục tiêu tấn công của tội phạm mạng. Tuy nhiên, khi hệ thống phòng thủ ngày càng tinh vi thì chiến thuật của tin tặc cũng vậy. Năm 2023 cho thấy sự giằng co không ngừng nghỉ, ghi nhận một số vụ xâm phạm dữ liệu gây hậu quả nặng nề. Dưới đây là 10 vụ xâm phạm dữ liệu hàng đầu trong năm 2023 ảnh hưởng đến hơn 100 triệu cá nhân theo ghi nhận của tổ chức phi lợi nhuận Trung tâm Tài nguyên trộm cắp danh tính Mỹ (ITRC).
10:00 | 28/02/2024
Theo thông báo vào ngày 20/2/2024, FBI và các đồng minh quốc tế đã triệt phá và kiểm soát trang web tống tiền do nhóm tội phạm mạng nguy hiểm nhất thế giới LockBit sử dụng để tống tiền nạn nhân.
16:00 | 25/01/2024
Quần đảo Trường Sa là vùng lãnh thổ thiêng liêng không thể tách rời của Tổ quốc Việt Nam; trạm gác tiền tiêu, pháo đài canh gác, lá chắn vững chắc từ hướng biển, phên dậu sườn Đông của Tổ quốc; không gian chiến lược đặc biệt quan trọng đối với quốc phòng, an ninh và kinh tế của đất nước. Vì vậy, mỗi chuyến công tác tới Trường Sa đều đem lại rất nhiều cảm xúc và ý nghĩa. Đặc biệt là chuyến thăm, tặng quà Tết hàng năm.
13:00 | 18/01/2024
Một nhóm tin tặc hacktivist ủng hộ Ukraine có tên là Blackjack tuyên bố thực hiện một cuộc tấn công mạng nhằm vào nhà cung cấp dịch vụ Internet M9com của Nga, hành động này như một phản ứng trực tiếp và để trả đũa cuộc tấn công nhằm vào gã khổng lồ viễn thông Kyivstar của Ukraine trước đó.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024