Theo báo cáo An ninh phần mềm hàng năm của công ty bảo mật Veracode (Hoa Kỳ), các thư viện mã nguồn mở (bao gồm kho lưu trữ mã tập trung miễn phí), cung cấp các ứng dụng được xây dựng sẵn cho các nhà phát triển đem đến nhiều rủi ro gây mất an toàn thông tin.
Các nhà nghiên cứu đã kiểm tra 351.000 thư viện trong 85.000 ứng dụng và thấy rằng, các thư viện nguồn mở là rất phổ biến. Hầu hết các ứng dụng JavaScript đều chứa hàng trăm thư viện nguồn mở, một số ứng dụng khác có hơn 1.000 thư viện khác nhau. Ngoài ra, hầu hết các ngôn ngữ đều có cùng một bộ thư viện cốt lõi.
Báo cáo chỉ ra rằng, các thư viện mã nguồn mở được sử dụng lại trong nhiều ứng dụng, nên khi một bộ thư viện cốt lõi nào tồn tại lỗ hổng có thể khiến hàng trăm ứng dụng khác bị khai thác. Mã nguồn mở đang là xu thế hiện nay, thư viện nguồn mở cho phép các nhà phát triển nhanh chóng thêm các chức năng cơ bản. Tuy nhiên, việc thiếu nhận thức về sử dụng các thư viện nguồn mở và các yếu tố rủi ro của chúng là một vấn đề lớn mà các nhà phát triển cần quan tâm.
Phần lớn các lỗi nguồn mở được tìm thấy trong các ứng dụng viết bằng ngôn ngữ: Swift, .NET, Go và PHP. Ứng dụng viết bằng ngôn ngữ Swift của Apple tồn tại ít lỗ hổng nhất nhưng mức độ của các lỗ hổng này lại ở mức cao nhất, còn các ứng dụng viết bằng ngôn ngữ .NET tồn tại ít lỗ hổng lỗ hổng ở mức cao nhưng mức độ phổ biến hơn Swift gấp 17 lần.
Ngôn ngữ Go có tỷ lệ lỗ hổng cao, nhưng tổng số lỗ hổng thấp ở mỗi thư viện riêng lẻ. Còn ngôn ngữ PHP có tỷ lệ thư viện có lỗ hổng cao hơn Go.
Nghiên cứu cho thấy, lỗ hổng Cross-Site Scripting (XSS) là loại lỗ hổng phổ biến nhất được tìm thấy trong các thư viện nguồn mở (chiếm 30% trong số các lỗ hổng). Tiếp theo là Insecure Deserialization (23,5%) và chiếm quyền kiểm soát truy cập (20,3%).
Cũng theo báo cáo, hầu hết các ứng dụng chứa các thư viện tồn tại lỗ hổng (chiếm khoảng 75%) có thể được giải quyết bằng một bản cập nhật mà không cần phải chuyển sang sử dụng các thư viện khác.
M.C
(Theo Threatpost)
10:00 | 27/04/2020
08:00 | 26/06/2020
10:00 | 09/04/2020
10:00 | 06/04/2020
15:00 | 28/07/2020
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024
