Một lỗ hổng được phân loại với mức độ nghiêm trọng trung bình đã được phát hiện trong OpenSSL phiên bản 3.0.4 trên nền tảng x86 32-bit vào ngày 05/07/2022. Lỗ hổng định danh CVE-2022-2097 ảnh hưởng đến quá trình triển khai mã hóa AES OCB (Advanced Encryption Standard - Offset codebook mode) - một phương thức mã hóa hoạt động dựa trên mã hóa khối, cung cấp tính xác thực cũng như tính riêng tư cho dữ liệu người dùng.
Chế độ AES-OCB cho nền tảng x86 32 bit được sử dụng triển khai tối ưu hóa tập chỉ lệnh mã hóa mới AES-NI của Intel và AMD, giúp cải tiến thuật toán AES và tăng tốc độ mã hóa dữ liệu. Lỗ hổng tác động đến AES-OCB làm cho dữ liệu không được mã hóa toàn bộ trong một số trường hợp, dẫn tới một số thông tin nhạy cảm hoặc quan trọng không được mã hóa trước khi lưu trữ hoặc truyền tải, gây ảnh hưởng đến tính riêng tư, tính bảo mật của dữ liệu. Nghiên cứu cho biết 16 byte dữ liệu đã tồn tại từ trước trong bộ nhớ chưa được ghi có thể bị rò rỉ. Tuy nhiên, OpenSSL không hỗ trợ bộ mật mã dựa trên OCB cho TLS và DTLS (Datagram TLS) nên cả hai đều không bị ảnh hưởng.
Tấn công khai thác lỗ hổng này có thể được phát động từ xa mà không cần bất kỳ hình thức xác thực nào. Các chuyên gia khuyến cáo, cách giảm thiểu tốt nhất là nâng cấp lên phiên bản 3.0.5.
OpenSSL cũng vừa phát hành bản vá cho lỗ hổng với mức độ nghiêm trọng trong thư viện mật mã, có thể bị khai thác để thực thi mã từ xa trong một số tình huống nhất định. Lỗ hổng được đặt tên là CVE-2022-2274 với mức độ nghiêm trọng cao, được mô tả là lỗi bộ nhớ với thao tác khóa RSA đã được giới thiệu trong OpenSSL phiên bản 3.0.4, phát hành ngày 21/06/2022. Lỗ hỗng này làm cho việc triển khai khóa RSA 2048 bit không chính xác và có khả năng làm hỏng bộ nhớ trong quá trình tính toán. Do hậu quả của việc hỏng bộ nhớ, kẻ tấn công có thể kích hoạt thực thi mã từ xa và thực hiện các hành vi gây hại.
Vấn đề nằm trong phiên bản OpenSSL 3.0.4 ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. Các phiên bản liên quan như OpenSSL 1.1.1, OpenSSL forks BoringSSL và LibreSSL đều không bị ảnh hưởng. Máy chủ cài đặt SSL/TLS hoặc các máy chủ khác sử dụng khóa riêng RSA 2048-bit đang chạy trên các máy hỗ trợ các lệnh AVX512IFMA của kiến trúc x86_64 bị ảnh hưởng bởi vấn đề này. Người dùng phiên bản OpenSSL 3.0.4 được khuyến nghị nâng cấp lên phiên bản OpenSSL 3.0.5 càng sớm càng tốt.
Trương Đình Dũng
08:00 | 29/06/2022
08:00 | 07/11/2022
09:00 | 30/06/2022
09:00 | 08/07/2022
16:00 | 23/10/2024
Sáng ngày 23/10, tại Hà Nội, Hiệp hội An toàn thông tin Việt Nam (VNISA) và Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) phối hợp cùng World Vision Việt Nam tổ chức Hội thảo chuyên đề “Bảo đảm an toàn thông tin cho công tác báo chí, truyền thông”.
13:00 | 07/10/2024
Instagram đã ra mắt một bộ tính năng mới được thiết kế để đảm bảo an toàn cho thanh thiếu niên khi sử dụng nền tảng này. Bộ tính năng này như một lá chắn kỹ thuật số, bảo vệ người dùng trẻ khỏi các tin nhắn không mong muốn, nội dung không phù hợp và thời gian sử dụng quá mức.
10:00 | 19/08/2024
Hiện nay, email đã trở thành phương thức liên lạc chính của các cá nhân và tổ chức, điều này khiến nhu cầu về các dịch vụ lưu trữ email ngày càng tăng. Những dịch vụ này không chỉ cung cấp dung lượng lưu trữ lớn, mà còn phải đảm bảo tính bảo mật mạnh mẽ, giúp bảo vệ thông tin cá nhân và dữ liệu quan trọng của người dùng. Bài báo sẽ thông tin tới độc giả Top 5 dịch vụ lưu trữ email tốt nhất năm 2024 theo đánh giá của chuyên trang công nghệ uy tín ZDNET.
13:00 | 01/08/2024
Một tính năng mới của Google Chrome mới được phát hành, về việc cảnh báo khi tải xuống các tệp được bảo vệ bằng mật khẩu có khả năng độc hại và cung cấp hệ thống cảnh báo cải tiến để tải xuống các tệp an toàn hơn.
Mới đây, Google đã phát hiện ra một lỗ hổng nghiêm trọng trên chip Exynos gây ảnh hưởng đến các mẫu điện thoại Samsung cũ. Lỗ hổng này được gắn mã định danh là CVE-2024-44068.
10:00 | 04/11/2024