CISA đã gia hạn đến ngày 23/01/2024 cho các cơ quan liên bang áp dụng các biện pháp để giảm thiểu tác động của hai lỗ hổng CVE-2023-7024 và CVE-2023-7101.
Lỗ hổng đầu tiên được CISA thêm vào KEV là CVE-2023-7101, một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản dưới 0.65 của thư viện Spreadsheet::ParseExcel. Các nhà nghiên cứu cho biết lỗ hổng này xảy ra do việc truyền dữ liệu không được xác thực từ một tệp vào một string-type “eval”, bắt nguồn từ việc đánh giá các chuỗi định dạng số trong logic phân tích cú pháp Excel.
Một sản phẩm sử dụng thư viện nguồn mở này là Barracuda ESG (Email Security Gateway), đã bị tin tặc khai thác lỗ hổng CVE-2023-7101 trong bảng tính ParseExcel để xâm phạm các thiết bị vào cuối tháng 12/2023. Barracuda nhận định rằng các tác nhân đe dọa đã lợi dụng lỗ hổng này để triển khai phần mềm độc hại SeaSpy và Saltwater. Công ty bảo mật này đã áp dụng các biện pháp giảm thiểu cho ESG vào ngày 20/12/2023 và bản cập nhật bảo mật giải quyết lỗ hổng CVE-2023-7101 đã được phát hành vào ngày 29/12/2023 với phiên bản Spreadsheet::ParseExcel 0,66.
Lỗ hổng mới nhất được thêm vào KEV là CVE-2023-7024, đây là sự cố tràn bộ đệm heap trong WebRTC trong trình duyệt web Google Chrome. Theo mô tả lỗ hổng của CISA, Google Chrome WebRTC là một dự án nguồn mở cung cấp cho các trình duyệt web khả năng giao tiếp theo thời gian thực, có chứa lỗ hổng tràn bộ đệm heap cho phép kẻ tấn công gây ra sự cố hoạt động hoặc thực thi mã. Lỗ hổng có thể ảnh hưởng đến các trình duyệt web sử dụng WebRTC, bao gồm cả Google Chrome.
Lỗ hổng này được Nhóm phân tích mối đe dọa (TAG) của Google phát hiện và được vá thông qua bản cập nhật khẩn cấp vào ngày 20/12/2023, trong phiên bản 120.0.6099.129/130 cho Windows và 120.0.6099.129 cho Mac và Linux. Đây là lỗ hổng zero-day thứ tám mà Google đã vá trong Chrome vào năm 2023, nhấn mạnh việc tin tặc chú ý và dành thời gian cho việc tìm kiếm và khai thác các lỗ hổng trong trình duyệt web được sử dụng rộng rãi.
Để giảm thiểu các nguy cơ tiềm ẩn, các chuyên gia bảo mật khuyến cáo người dùng nên nhanh chóng cập nhật bản vá cho các sản phẩm đang sử dụng càng sớm càng tốt ngay sau khi chúng có sẵn.
Bá Phúc
(Theo Bleepingcomputer)
09:00 | 24/11/2023
09:00 | 04/03/2024
14:00 | 19/12/2023
13:00 | 19/03/2024
16:00 | 18/12/2023
14:00 | 28/05/2024
13:00 | 06/01/2025
Sáng ngày 06/01, Đảng ủy Ban Cơ yếu Chính phủ tổ chức Hội nghị ra nghị quyết lãnh đạo thực hiện nhiệm vụ năm 2025. Đại tướng Nguyễn Tân Cương, Ủy viên Trung ương Đảng, Ủy viên Thường vụ Quân ủy Trung ương, Tổng Tham mưu trưởng Quân đội nhân dân Việt Nam, Thứ trưởng Bộ Quốc phòng dự và chỉ đạo Hội nghị. Thiếu tướng Nguyễn Đăng Lực, Bí thư Đảng ủy, Phó Trưởng ban Cơ yếu Chính phủ chủ trì Hội nghị.
09:00 | 30/12/2024
Là công cụ tìm kiếm phổ biến nhất trên Internet hiện nay, Google được xem như một cuốn bách khoa toàn thư trực tuyến, nơi người dùng có thể tìm kiếm thông tin và giải đáp các thắc mắc của bản thân. Không ít người dùng lựa chọn nhấn vào trang web hiện ra đầu tiên sau khi tìm kiếm trên Google. Tuy nhiên, thói quen này có thể khiến họ vô tình gặp nguy hiểm.
08:00 | 24/12/2024
Hội thảo khoa học quốc tế lần thứ nhất về Mật mã và An toàn thông tin (The IEEE International Conference on Cryptography and Information Securiry - VCRIS 2024) là sự kiện do Học viện Kỹ thuật mật mã phối hợp với các cơ quan khoa học uy tín trong và ngoài nước tổ chức, dưới sự chỉ đạo của Ban Cơ yếu Chính phủ. Phóng viên Tạp chí An toàn thông tin đã có cuộc phỏng vấn GS.TS Nguyễn Hiếu Minh, Phó Giám đốc Học viện Kỹ thuật mật mã, Ban Tổ chức Hội thảo VCRIS 2024 về ý nghĩa, mục tiêu và các nội dung liên quan đến Hội thảo.
10:00 | 09/12/2024
"Brain rot" (sự suy giảm khả năng tập trung, tư duy và trí tuệ) được dùng để bày tỏ lo ngại về hậu quả của việc lạm dụng quá nhiều nội dung trực tuyến có chất lượng kém, đặc biệt là trên mạng xã hội.
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
13:00 | 14/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Hãng công nghệ Google thông báo sẽ phát hành các ứng dụng điện toán lượng tử thương mại trong vòng 5 năm tới. Động thái này được xem là lời thách thức trực tiếp tới những dự đoán thận trọng hơn từ Nvidia, vốn cho rằng phải mất tới 20 năm nữa công nghệ này mới thực sự hữu dụng.
13:00 | 14/02/2025