Cụ thể, lỗ hổng nghiêm trọng có định danh CVE-2023-30547 (điểm CVSS 9,8) có thể cho phép tin tặc thực thi shellcode tùy ý. Sau khi được báo cáo các nhà quản trị của vm2 đã nhanh chóng phát hành một bản vá với phiên bản 3.9.17. Lỗ hổng ảnh hưởng đến tất cả các phiên bản vm2 từ 3.9.16 trở về trước và không có cách giảm thiểu.
CVE-2023-30547 nằm trong quá trình xử lý ngoại lệ (exception sanitization) của vm2. Tin tặc đã tạo ra một tình huống không bình thường để dẫn luồng thực thi vào phần ngoại lệ. Khi hàm handleException tiến hành xử lý sẽ dẫn đến lỗi cho phép tin tặc vượt qua sandbox và thực thi mã tùy ý trong môi trường máy chủ. Hiện PoC của lỗ hổng đã được công bố.
Trước đó, hai lỗ hổng nghiêm trọng khác là CVE-2023-29017 (điểm CVSS 10) có thể cho phép tin tặc thực thi mã từ xa và CVE-2023-29199 (điểm CVSS 9,8) cho phép tin tặc qua mặt được cơ chế bảo vệ của sandbox để thực thi mã tùy ý trên hệ thống cũng đã được phát hiện trong sandbox của vm2.
Cả ba lỗ hổng đều được đánh giá mực độ nghiêm trọng và không có biện pháp giảm thiểu. Các chuyên gia khuyến cáo các nhà phát triển và quản trị ứng dụng cần nhanh chóng cập nhật lên phiên bản mới nhất để tránh các rủi ro đáng tiếc.
M.H
07:00 | 20/04/2023
12:00 | 08/05/2023
09:00 | 11/04/2023
09:00 | 13/04/2023
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024