Ghidra là công cụ được phát triển bởi Tổng cục nghiên cứu của NSA nhằm mục đích phân tích phần mềm độc hại. Công cụ này hỗ trợ được nhiều nền tảng như: Windows, macOS và Linux. Ghidra bắt đầu được cung cấp dưới dạng mã nguồn mở từ đầu năm 2019.
Vào cuối tháng 9/2019, các nhà nghiên cứu bảo mật đã phát hiện lỗ hổng trong công cụ Ghidra cho phép tin tặc tấn công thực thi mã tùy ý trong phạm vi ứng dụng bị ảnh hưởng. Lỗ hổng được định danh CVE-2019-16941 với số điểm CVSS là 9.8. Lỗ hổng này được xếp hạng mức độ nghiêm trọng cao.
Theo khuyến cáo, lỗ hổng chỉ bị kích hoạt khi chế độ thử nghiệm được bật, tồn tại trong tính năng đọc tệp XML của Bit Formd Explorer và có thể bị khai thác thông qua các tài liệu XML đã bị sửa đổi. Cụ thể là tại tệp tin FileBitPatternInfoReader.java tại đường dẫn Features/BytePatterns/src/main/java/ghidra/bitpatterns/info.
Lỗ hổng được khai thác bằng tệp XML được tạo bởi DumpFunctionPotypeInfoScript, nhưng sau đó được sửa đổi trực tiếp bởi tin tặc (ví dụ, để thực hiện hành vi gọi hàm java.lang.Runtime.exec).
Theo thông tin được NSA đăng trên Twitter, các điều kiện cần thiết để khai thác thành công lỗ hổng này khó có thể đạt được trong thực tế. Do đó, lỗ hổng này không phải là vấn đề nghiêm trọng, miễn là người dùng Ghidra không chấp nhận tệp XML từ các nguồn không xác định.
Cơ quan này cũng tiết lộ rằng, bản vá sẽ được phát hành trong phiên bản Ghidra 9.1, hiện đang trong giai đoạn thử nghiệm.
M.C
Security Week
10:00 | 08/10/2019
08:00 | 02/10/2019
10:00 | 04/12/2019
09:00 | 25/09/2019
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
15:00 | 15/11/2023
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024