Lỗ hổng có định danh CVE-2024-34359 (điểm CVSS: 9,7), được công ty bảo mật chuỗi cung ứng phần mềm Checkmarx (Mỹ) đặt tên là Llama Drama. Nhà nghiên cứu bảo mật Guy Nachshon cho biết: “Nếu bị khai thác, nó có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống, xâm phạm dữ liệu và hoạt động”.
llama_cpp_python một Python binding cho thư viện llama.cpp, là package phổ biến với hơn 3 triệu lượt tải xuống, cho phép các nhà phát triển tích hợp các mô hình AI với Python.
Nhà nghiên cứu bảo mật Patrick Peng (retr0reg) được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.
Vấn đề cốt lõi bắt nguồn từ việc lạm dụng công cụ mẫu (template engine) Jinja2 trong llama_cpp_python, cho phép tấn công server-side template injection dẫn đến thực thi mã từ xa.
Checkmarx cho biết: “Việc khai thác lỗ hổng này có thể dẫn đến các hành động trái phép, bao gồm đánh cắp dữ liệu, xâm phạm hệ thống và làm gián đoạn hoạt động”.
“Việc phát hiện ra CVE-2024-34359 như một lời nhắc nhở rõ ràng về các lỗ hổng có thể phát sinh khi kết hợp giữa mô hình AI và bảo mật chuỗi cung ứng. Nó nhấn mạnh sự cần thiết phải thực hiện các biện pháp bảo mật thận trọng trong suốt vòng đời của hệ thống AI và các thành phần của chúng".
Lỗ hổng thực thi mã trong PDF.jsm
Sự phát triển này diễn ra sau khi một lỗ hổng có độ nghiêm trọng mức cao (CVE-2024-4367) được phát hiện trong thư viện JavaScript PDF.js của Mozilla có thể cho phép thực thi mã tùy ý.
Mozilla cho biết rằng: “Việc kiểm tra loại dữ liệu đã bị thiếu trong khi xử lý phông chữ trong PDF.js, điều này sẽ cho phép thực thi JavaScript tùy ý trong ngữ cảnh PDF.js”.
Codean Labs cho biết lỗ hổng này cho phép kẻ tấn công thực thi mã JavaScript ngay khi tài liệu PDF độc hại được mở trong trình duyệt Firefox.
Sự cố đã được giải quyết trong Firefox 126, Firefox ESR 115.11 và Thunderbird 115.11 được phát hành vào tuần trước. Vấn đề này cũng đã được giải quyết trong mô-đun npm pdfjs-dist phiên bản 4.2.67 được phát hành vào ngày 29/4/2024.
Hà Phương
10:00 | 17/05/2024
10:00 | 17/05/2024
14:00 | 23/05/2024
13:00 | 06/08/2024
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
09:00 | 29/10/2024
Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
13:00 | 27/08/2024
Ngân hàng Nhà nước Việt Nam ghi nhận gần đây có hiện tượng đối tượng lừa đảo, giả mạo giao diện hòm thư điện tử của Ngân hàng Nhà nước Việt Nam để gửi thông tin dẫn dụ người dân, khách hàng bấm vào đường link cập nhật thông tin sinh trắc học cho giao dịch ngân hàng.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024