Một lỗ hổng được phân loại với mức độ nghiêm trọng trung bình đã được phát hiện trong OpenSSL phiên bản 3.0.4 trên nền tảng x86 32-bit vào ngày 05/07/2022. Lỗ hổng định danh CVE-2022-2097 ảnh hưởng đến quá trình triển khai mã hóa AES OCB (Advanced Encryption Standard - Offset codebook mode) - một phương thức mã hóa hoạt động dựa trên mã hóa khối, cung cấp tính xác thực cũng như tính riêng tư cho dữ liệu người dùng.
Chế độ AES-OCB cho nền tảng x86 32 bit được sử dụng triển khai tối ưu hóa tập chỉ lệnh mã hóa mới AES-NI của Intel và AMD, giúp cải tiến thuật toán AES và tăng tốc độ mã hóa dữ liệu. Lỗ hổng tác động đến AES-OCB làm cho dữ liệu không được mã hóa toàn bộ trong một số trường hợp, dẫn tới một số thông tin nhạy cảm hoặc quan trọng không được mã hóa trước khi lưu trữ hoặc truyền tải, gây ảnh hưởng đến tính riêng tư, tính bảo mật của dữ liệu. Nghiên cứu cho biết 16 byte dữ liệu đã tồn tại từ trước trong bộ nhớ chưa được ghi có thể bị rò rỉ. Tuy nhiên, OpenSSL không hỗ trợ bộ mật mã dựa trên OCB cho TLS và DTLS (Datagram TLS) nên cả hai đều không bị ảnh hưởng.
Tấn công khai thác lỗ hổng này có thể được phát động từ xa mà không cần bất kỳ hình thức xác thực nào. Các chuyên gia khuyến cáo, cách giảm thiểu tốt nhất là nâng cấp lên phiên bản 3.0.5.
OpenSSL cũng vừa phát hành bản vá cho lỗ hổng với mức độ nghiêm trọng trong thư viện mật mã, có thể bị khai thác để thực thi mã từ xa trong một số tình huống nhất định. Lỗ hổng được đặt tên là CVE-2022-2274 với mức độ nghiêm trọng cao, được mô tả là lỗi bộ nhớ với thao tác khóa RSA đã được giới thiệu trong OpenSSL phiên bản 3.0.4, phát hành ngày 21/06/2022. Lỗ hỗng này làm cho việc triển khai khóa RSA 2048 bit không chính xác và có khả năng làm hỏng bộ nhớ trong quá trình tính toán. Do hậu quả của việc hỏng bộ nhớ, kẻ tấn công có thể kích hoạt thực thi mã từ xa và thực hiện các hành vi gây hại.
Vấn đề nằm trong phiên bản OpenSSL 3.0.4 ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. Các phiên bản liên quan như OpenSSL 1.1.1, OpenSSL forks BoringSSL và LibreSSL đều không bị ảnh hưởng. Máy chủ cài đặt SSL/TLS hoặc các máy chủ khác sử dụng khóa riêng RSA 2048-bit đang chạy trên các máy hỗ trợ các lệnh AVX512IFMA của kiến trúc x86_64 bị ảnh hưởng bởi vấn đề này. Người dùng phiên bản OpenSSL 3.0.4 được khuyến nghị nâng cấp lên phiên bản OpenSSL 3.0.5 càng sớm càng tốt.
Trương Đình Dũng
08:00 | 29/06/2022
08:00 | 07/11/2022
09:00 | 30/06/2022
09:00 | 08/07/2022
10:00 | 30/12/2024
Xe tự hành (Autonomous Vehicles- AV) là một bước tiến lớn trong lĩnh vực công nghệ ô tô đang phát triển nhanh chóng hiện nay. Những chiếc xe tự hành được trang bị công nghệ tiên tiến, mang đến cải thiện hiệu quả về mặt an toàn và tiện lợi cho người dùng. Tuy nhiên, giống như bất kỳ tiến bộ công nghệ nào, AV cũng tạo ra những lo ngại về các mối đe dọa mới, đặc biệt là trong lĩnh vực an ninh mạng. Việc hiểu được những mối nguy hiểm này là rất quan trọng đối với cả chủ xe và những người đam mê công nghệ, vì chúng không chỉ ảnh hưởng đến sự an toàn của cá nhân mà còn ảnh hưởng đến sự an toàn của cộng đồng.
17:00 | 18/12/2024
Lỗ hổng định danh CVE-2024-44131 vừa được phát hiện có thể vượt qua hệ thống bảo vệ quyền riêng tư Transparency, Consent and Control (TCC) trong iOS và macOS của Apple. Nếu khai thác thành công, tin tặc hoàn toàn có khả năng truy cập trái phép vào thông tin nhạy cảm.
13:00 | 16/12/2024
Mới đây, các chuyên gia của công ty nghiên cứu bảo mật McAfee đã phát hiện 15 phần mềm độc hại giả mạo các ứng dụng cho vay tiền với lãi suất thấp trên nền tảng Android.
13:00 | 03/12/2024
Một công ty viễn thông Anh vừa tung ra "vũ khí bí mật" chống lừa đảo mang tên "bà lão AI" khiến cho kẻ lừa đảo bị cuốn vào những câu chuyện dài vô tận.
Đầu tháng 01/2025, MediaTek đã thông báo một loạt các lỗ hổng bảo mật ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh.
12:00 | 14/01/2025