Theo báo cáo An ninh phần mềm hàng năm của công ty bảo mật Veracode (Hoa Kỳ), các thư viện mã nguồn mở (bao gồm kho lưu trữ mã tập trung miễn phí), cung cấp các ứng dụng được xây dựng sẵn cho các nhà phát triển đem đến nhiều rủi ro gây mất an toàn thông tin.
Các nhà nghiên cứu đã kiểm tra 351.000 thư viện trong 85.000 ứng dụng và thấy rằng, các thư viện nguồn mở là rất phổ biến. Hầu hết các ứng dụng JavaScript đều chứa hàng trăm thư viện nguồn mở, một số ứng dụng khác có hơn 1.000 thư viện khác nhau. Ngoài ra, hầu hết các ngôn ngữ đều có cùng một bộ thư viện cốt lõi.
Báo cáo chỉ ra rằng, các thư viện mã nguồn mở được sử dụng lại trong nhiều ứng dụng, nên khi một bộ thư viện cốt lõi nào tồn tại lỗ hổng có thể khiến hàng trăm ứng dụng khác bị khai thác. Mã nguồn mở đang là xu thế hiện nay, thư viện nguồn mở cho phép các nhà phát triển nhanh chóng thêm các chức năng cơ bản. Tuy nhiên, việc thiếu nhận thức về sử dụng các thư viện nguồn mở và các yếu tố rủi ro của chúng là một vấn đề lớn mà các nhà phát triển cần quan tâm.
Phần lớn các lỗi nguồn mở được tìm thấy trong các ứng dụng viết bằng ngôn ngữ: Swift, .NET, Go và PHP. Ứng dụng viết bằng ngôn ngữ Swift của Apple tồn tại ít lỗ hổng nhất nhưng mức độ của các lỗ hổng này lại ở mức cao nhất, còn các ứng dụng viết bằng ngôn ngữ .NET tồn tại ít lỗ hổng lỗ hổng ở mức cao nhưng mức độ phổ biến hơn Swift gấp 17 lần.
Ngôn ngữ Go có tỷ lệ lỗ hổng cao, nhưng tổng số lỗ hổng thấp ở mỗi thư viện riêng lẻ. Còn ngôn ngữ PHP có tỷ lệ thư viện có lỗ hổng cao hơn Go.
Nghiên cứu cho thấy, lỗ hổng Cross-Site Scripting (XSS) là loại lỗ hổng phổ biến nhất được tìm thấy trong các thư viện nguồn mở (chiếm 30% trong số các lỗ hổng). Tiếp theo là Insecure Deserialization (23,5%) và chiếm quyền kiểm soát truy cập (20,3%).
Cũng theo báo cáo, hầu hết các ứng dụng chứa các thư viện tồn tại lỗ hổng (chiếm khoảng 75%) có thể được giải quyết bằng một bản cập nhật mà không cần phải chuyển sang sử dụng các thư viện khác.
M.C
(Theo Threatpost)
10:00 | 27/04/2020
08:00 | 26/06/2020
10:00 | 09/04/2020
10:00 | 06/04/2020
15:00 | 28/07/2020
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
10:00 | 07/05/2024