Cụ thể, lỗ hổng nghiêm trọng có định danh CVE-2023-30547 (điểm CVSS 9,8) có thể cho phép tin tặc thực thi shellcode tùy ý. Sau khi được báo cáo các nhà quản trị của vm2 đã nhanh chóng phát hành một bản vá với phiên bản 3.9.17. Lỗ hổng ảnh hưởng đến tất cả các phiên bản vm2 từ 3.9.16 trở về trước và không có cách giảm thiểu.
CVE-2023-30547 nằm trong quá trình xử lý ngoại lệ (exception sanitization) của vm2. Tin tặc đã tạo ra một tình huống không bình thường để dẫn luồng thực thi vào phần ngoại lệ. Khi hàm handleException tiến hành xử lý sẽ dẫn đến lỗi cho phép tin tặc vượt qua sandbox và thực thi mã tùy ý trong môi trường máy chủ. Hiện PoC của lỗ hổng đã được công bố.
Trước đó, hai lỗ hổng nghiêm trọng khác là CVE-2023-29017 (điểm CVSS 10) có thể cho phép tin tặc thực thi mã từ xa và CVE-2023-29199 (điểm CVSS 9,8) cho phép tin tặc qua mặt được cơ chế bảo vệ của sandbox để thực thi mã tùy ý trên hệ thống cũng đã được phát hiện trong sandbox của vm2.
Cả ba lỗ hổng đều được đánh giá mực độ nghiêm trọng và không có biện pháp giảm thiểu. Các chuyên gia khuyến cáo các nhà phát triển và quản trị ứng dụng cần nhanh chóng cập nhật lên phiên bản mới nhất để tránh các rủi ro đáng tiếc.
M.H
07:00 | 20/04/2023
12:00 | 08/05/2023
09:00 | 11/04/2023
09:00 | 13/04/2023
10:00 | 28/11/2024
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
14:00 | 17/09/2024
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
Microsoft đã thu giữ 240 tên miền được khách hàng của nền tảng dịch vụ lừa đảo qua mạng ONNX sử dụng để nhắm vào các cá nhân và tổ chức của Mỹ và trên toàn thế giới kể từ năm 2017.
11:00 | 29/11/2024