CISA đã gia hạn đến ngày 23/01/2024 cho các cơ quan liên bang áp dụng các biện pháp để giảm thiểu tác động của hai lỗ hổng CVE-2023-7024 và CVE-2023-7101.
Lỗ hổng đầu tiên được CISA thêm vào KEV là CVE-2023-7101, một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản dưới 0.65 của thư viện Spreadsheet::ParseExcel. Các nhà nghiên cứu cho biết lỗ hổng này xảy ra do việc truyền dữ liệu không được xác thực từ một tệp vào một string-type “eval”, bắt nguồn từ việc đánh giá các chuỗi định dạng số trong logic phân tích cú pháp Excel.
Một sản phẩm sử dụng thư viện nguồn mở này là Barracuda ESG (Email Security Gateway), đã bị tin tặc khai thác lỗ hổng CVE-2023-7101 trong bảng tính ParseExcel để xâm phạm các thiết bị vào cuối tháng 12/2023. Barracuda nhận định rằng các tác nhân đe dọa đã lợi dụng lỗ hổng này để triển khai phần mềm độc hại SeaSpy và Saltwater. Công ty bảo mật này đã áp dụng các biện pháp giảm thiểu cho ESG vào ngày 20/12/2023 và bản cập nhật bảo mật giải quyết lỗ hổng CVE-2023-7101 đã được phát hành vào ngày 29/12/2023 với phiên bản Spreadsheet::ParseExcel 0,66.
Lỗ hổng mới nhất được thêm vào KEV là CVE-2023-7024, đây là sự cố tràn bộ đệm heap trong WebRTC trong trình duyệt web Google Chrome. Theo mô tả lỗ hổng của CISA, Google Chrome WebRTC là một dự án nguồn mở cung cấp cho các trình duyệt web khả năng giao tiếp theo thời gian thực, có chứa lỗ hổng tràn bộ đệm heap cho phép kẻ tấn công gây ra sự cố hoạt động hoặc thực thi mã. Lỗ hổng có thể ảnh hưởng đến các trình duyệt web sử dụng WebRTC, bao gồm cả Google Chrome.
Lỗ hổng này được Nhóm phân tích mối đe dọa (TAG) của Google phát hiện và được vá thông qua bản cập nhật khẩn cấp vào ngày 20/12/2023, trong phiên bản 120.0.6099.129/130 cho Windows và 120.0.6099.129 cho Mac và Linux. Đây là lỗ hổng zero-day thứ tám mà Google đã vá trong Chrome vào năm 2023, nhấn mạnh việc tin tặc chú ý và dành thời gian cho việc tìm kiếm và khai thác các lỗ hổng trong trình duyệt web được sử dụng rộng rãi.
Để giảm thiểu các nguy cơ tiềm ẩn, các chuyên gia bảo mật khuyến cáo người dùng nên nhanh chóng cập nhật bản vá cho các sản phẩm đang sử dụng càng sớm càng tốt ngay sau khi chúng có sẵn.
Bá Phúc
(Theo Bleepingcomputer)
09:00 | 24/11/2023
09:00 | 04/03/2024
13:00 | 19/03/2024
14:00 | 19/12/2023
16:00 | 18/12/2023
16:00 | 02/04/2024
Trong quý I/2024, thông qua hệ thống giám sát an toàn thông tin, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ) đã phân tích phát hiện tổng số 32.265 nguy cơ tấn công mạng nhắm vào các mạng công nghệ thông tin trọng yếu, tăng 18,7% so với cùng kỳ năm 2023.
07:00 | 29/03/2024
Chiều 26/3, tại Hà Nội, Quân ủy Trung ương, Bộ Quốc phòng tổ chức tuyên dương Gương mặt trẻ tiêu biểu, Gương mặt trẻ triển vọng toàn quân năm 2023. Đại tướng Lương Cường, Ủy viên Bộ Chính trị, Ủy viên Thường vụ Quân ủy Trung ương, Chủ nhiệm Tổng cục Chính trị Quân đội nhân dân (QĐND) Việt Nam đã tới dự và phát biểu tại chương trình.
13:00 | 20/02/2024
Hệ thống thi thử trực tuyến của cuộc thi "Học sinh với an toàn thông tin" mùa thứ ba dự kiến được mở cho học sinh trung học cơ sở cả nước tập dượt từ đầu tháng 3, trước khi bước vào các vòng thi chính thức.
08:00 | 19/01/2024
Các chuyên gia đã phát hiện một chiến dịch phân phối phần mềm độc hại AsyncRAT nhắm mục tiêu vào các hệ thống thông tin cơ sở hạ tầng của Mỹ đã hoạt động trong ít nhất 11 tháng qua, sử dụng hàng trăm mẫu trình tải duy nhất và hơn 100 tên miền độc hại.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024