Lỗ hổng cho phép kẻ tấn công chèn các đoạn mã JavaScript độc hại vào các trang web được lưu trữ trên GitLab. Khi người dùng truy cập vào các trang web đó thông qua GitLab, mã độc sẽ được thực thi trong trình duyệt của họ và cho phép kẻ tấn công đánh cắp thông tin người dùng hoặc thực hiện các hành động độc hại khác.
GitLab đã nhanh chóng phát hành các bản vá để khắc phục lỗ hổng bảo mật nghiêm trọng này. Các bản vá được cung cấp thông qua các phiên bản mới của GitLab, bao gồm phiên bản 17.0.1, 16.11.3 và 16.10.6 cho cả GitLab Community Edition (CE) và Enterprise Edition (EE).
Vừa qua, GitLab cũng đã phát hành các bản vá khắc phục sáu lỗ hổng bảo mật mức độ trung bình khác, bao gồm lỗ hổng Cross-Site Request Forgery (CSRF) thông qua Kubernetes Agent Server (CVE-2023-7045) và lỗ hổng gây ra từ chối dịch vụ có thể cho phép kẻ tấn công gián đoạn việc tải các tài nguyên web của GitLab (CVE-2024-2874).
Ngoài ra, một lỗ hổng nghiêm trọng khác cũng đang bị tích cực khai thác trong các cuộc tấn công thông qua một lỗ hổng zero-click đã vá vào tháng 1. Lỗ hổng được định danh với mã CVE-2023-7028, lỗ hổng cho phép các kẻ tấn công chưa xác thực chiếm quyền các tài khoản GitLab thông qua việc đặt lại mật khẩu.
Các chuyên gia khuyến cáo người dùng nên cập nhật GitLab lên các phiên bản mới được nâng cấp ngay lập tức để đảm bảo an toàn cho hệ thống của mình.
M.T
08:00 | 22/07/2024
08:00 | 06/02/2024
08:00 | 26/09/2024
12:00 | 06/05/2024
07:00 | 17/01/2024
07:00 | 02/12/2024
Mới đây, công ty an ninh mạng LastPass tại Mỹ đưa ra cảnh báo đến người dùng về thủ đoạn lừa đảo giả mạo bộ phận hỗ trợ khách hàng, dụ dỗ người dùng tải về ứng dụng có chứa mã độc nhằm tấn công thiết bị, chiếm đoạt thông tin nhạy cảm của nạn nhân.
15:00 | 28/11/2024
Theo Bloomberg, Apple đang lên kế hoạch nâng cấp AI cho Siri, hướng đến việc đưa trợ lý ảo này đạt khả năng cạnh tranh trực tiếp với các chatbot hàng đầu như ChatGPT của OpenAI hay Gemini Live của Google.
10:00 | 26/11/2024
Tại sự kiện Ignite 2024 vừa qua, Microsoft đã giới thiệu tính năng mới trên Windows có tên gọi là “Quick Machine Recovery”, cho phép các tổ chức có thể sử dụng bản vá “targeted fixes” của Windows Update để khắc phục từ xa các hệ thống máy tính không thể khởi động mà không cần phải truy cập vật lý trực tiếp.
14:00 | 12/11/2024
Bộ phận quản trị Google Cloud đã thông báo rằng họ sẽ thực thi xác thực đa yếu tố (MFA) bắt buộc đối với tất cả người dùng vào cuối năm 2025. Đây là một phần trong nỗ lực nâng cao khả năng bảo mật tài khoản của Google.
Lô hàng chip AI tiên tiến của Mỹ đã được cấp phép xuất khẩu sang UAE. Cơ sở tiếp nhận do Microsoft điều hành hứa hẹn sẽ thúc đẩy mạnh mẽ ứng dụng công nghệ AI tại quốc gia này.
10:00 | 11/12/2024