CISA đã gia hạn đến ngày 23/01/2024 cho các cơ quan liên bang áp dụng các biện pháp để giảm thiểu tác động của hai lỗ hổng CVE-2023-7024 và CVE-2023-7101.
Lỗ hổng đầu tiên được CISA thêm vào KEV là CVE-2023-7101, một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản dưới 0.65 của thư viện Spreadsheet::ParseExcel. Các nhà nghiên cứu cho biết lỗ hổng này xảy ra do việc truyền dữ liệu không được xác thực từ một tệp vào một string-type “eval”, bắt nguồn từ việc đánh giá các chuỗi định dạng số trong logic phân tích cú pháp Excel.
Một sản phẩm sử dụng thư viện nguồn mở này là Barracuda ESG (Email Security Gateway), đã bị tin tặc khai thác lỗ hổng CVE-2023-7101 trong bảng tính ParseExcel để xâm phạm các thiết bị vào cuối tháng 12/2023. Barracuda nhận định rằng các tác nhân đe dọa đã lợi dụng lỗ hổng này để triển khai phần mềm độc hại SeaSpy và Saltwater. Công ty bảo mật này đã áp dụng các biện pháp giảm thiểu cho ESG vào ngày 20/12/2023 và bản cập nhật bảo mật giải quyết lỗ hổng CVE-2023-7101 đã được phát hành vào ngày 29/12/2023 với phiên bản Spreadsheet::ParseExcel 0,66.
Lỗ hổng mới nhất được thêm vào KEV là CVE-2023-7024, đây là sự cố tràn bộ đệm heap trong WebRTC trong trình duyệt web Google Chrome. Theo mô tả lỗ hổng của CISA, Google Chrome WebRTC là một dự án nguồn mở cung cấp cho các trình duyệt web khả năng giao tiếp theo thời gian thực, có chứa lỗ hổng tràn bộ đệm heap cho phép kẻ tấn công gây ra sự cố hoạt động hoặc thực thi mã. Lỗ hổng có thể ảnh hưởng đến các trình duyệt web sử dụng WebRTC, bao gồm cả Google Chrome.
Lỗ hổng này được Nhóm phân tích mối đe dọa (TAG) của Google phát hiện và được vá thông qua bản cập nhật khẩn cấp vào ngày 20/12/2023, trong phiên bản 120.0.6099.129/130 cho Windows và 120.0.6099.129 cho Mac và Linux. Đây là lỗ hổng zero-day thứ tám mà Google đã vá trong Chrome vào năm 2023, nhấn mạnh việc tin tặc chú ý và dành thời gian cho việc tìm kiếm và khai thác các lỗ hổng trong trình duyệt web được sử dụng rộng rãi.
Để giảm thiểu các nguy cơ tiềm ẩn, các chuyên gia bảo mật khuyến cáo người dùng nên nhanh chóng cập nhật bản vá cho các sản phẩm đang sử dụng càng sớm càng tốt ngay sau khi chúng có sẵn.
Bá Phúc
(Theo Bleepingcomputer)
09:00 | 24/11/2023
09:00 | 04/03/2024
14:00 | 19/12/2023
13:00 | 19/03/2024
16:00 | 18/12/2023
14:00 | 28/05/2024
13:00 | 07/10/2024
Với sự phát triển mạnh mẽ của ngành công nghiệp trò chơi điện tử (game online), việc các vật phẩm ảo có thể quy đổi thành giá trị tiền thật đã trở nên rất phổ biến. Điều này vô tình tạo cơ hội thuận lợi để kẻ tấn công thực hiện hành vi chiếm đoạt tài sản.
12:00 | 03/10/2024
Trong 6 tháng đầu năm, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) đã phát hiện và xử lý 20 sự cố tấn công mạng đặc biệt nghiêm trọng, nổi lên là hoạt động tấn công mã hoá dữ liệu, đòi tiền chuộc nhắm vào các tập đoàn, doanh nghiệp tài chính.
08:00 | 20/09/2024
Ngày 20/9/2004, Chính phủ ban hành Nghị định quy định chi tiết thi hành một số điều của Pháp lệnh Cơ yếu về tổ chức Cơ yếu Việt Nam và quản lý người làm công tác cơ yếu. Đây là văn bản pháp lý quan trọng, nhằm thể chế hoá quan điểm, chủ trương, chính sách của Đảng và Nhà nước về hoạt động cơ yếu.
12:00 | 08/09/2024
Chương trình nghệ thuật “Vinh quang thầm lặng 2024” kết thúc để lại nhiều ấn tượng tốt đẹp và xúc cảm sâu sắc trong lòng người xem. Phóng viên Tạp chí An toàn thông tin đã ghi nhận lại cảm xúc của các cán bộ, nhân viên ngành Cơ yếu khi xem chương trình.
Trong 02 ngày 09 và 10/10, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu tổ chức Hội nghị tập huấn nghiệp vụ công tác quản lý xây dựng lực lượng Cơ yếu Quân đội năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng tham mưu dự và chỉ đạo Hội nghị.
08:00 | 11/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Một vụ lừa đảo gây chấn động thị trường âm nhạc Mỹ và thế giới vừa bị phá vỡ. Cục Điều tra liên bang Mỹ (FBI) thông báo đã bắt giữ Michael Smith, 52 tuổi, một nhà sản xuất âm nhạc có tiếng tăm trên các nền tảng như Spotify, Amazon và Apple Music, với cáo buộc lừa dối và thu lợi bất chính hàng triệu USD tiền bản quyền bằng các bài hát do trí tuệ nhân tạo (AI) tạo ra.
13:00 | 09/10/2024