InforSec News: TIN TỨC VỀ CÁC LỖ HỔNG MỚI TRONG TUẦN

Top Block Position

TIN TỨC VỀ CÁC LỖ HỔNG MỚI TRONG TUẦN

Một số lỗ hổng mới được phát hiện trong tuần qua, khuyến nghị người dùng cập nhật phần mềm lên phiên bản mới nhất.

1. macOS

CVE-2024-46723 (CVSS: 9.8): Lỗ hổng liên quan đến một loạt các khai thác nhắm vào ứng dụng Lịch macOS. Bằng cách gửi lời mời lịch được tạo đặc biệt, kẻ tấn công có thể bỏ qua các biện pháp bảo mật và truy cập trái phép vào hệ thống của nạn nhân. Khi vào bên trong, kẻ tấn công có thể thực thi mã tùy ý, có khả năng dẫn đến đánh cắp dữ liệu, xâm phạm hệ thống hoặc thậm chí kiểm soát hoàn toàn thiết bị.

Khuyến nghị người dùng cập nhật phiên bản mới nhất.

2. Gitlab

CVE-2024-45409 (CVSS: 10): Lỗ hổng bắt nguồn từ việc xác minh chữ ký không đúng cách trong một số phiên bản nhất định của thư viện Ruby-SAML (<=12.2 và 1.13.0 đến 1.16.0). Lỗ hổng này cho phép kẻ tấn công không được xác thực giả mạo phản hồi SAML, cấp cho chúng quyền truy cập vào GitLab như bất kỳ người dùng tùy ý nào.

Đối với người dùng Gitlab, khuyến nghị bật xác thực hai bước (2FA) và tắt SAML two-factor bypass option

Khuyến nghị người dùng cập nhật bản vá mới nhất - 17.3.3, 17.2.7, 17.1.8, 17.0.8 và 16.11.10

3. Next.js

CVE-2024-46982 (CVSS: 7.5): Lỗ hổng đe dọa một số bản cài đặt Next.js, đặc biệt là những bản cài đặt sử dụng các non-dynamic server-side rendered route (SSR) trong bộ định tuyến trang. Khi một request HTTP được gửi đến một máy chủ dễ bị tấn công, nó sẽ lừa ứng dụng caching các phản hồi không nên được cache. Việc khai thác này có thể lan truyền đến CDN, dẫn đến những hậu quả có thể gây hại, chẳng hạn như phục vụ nội dung bị nhiễm độc cho người dùng.

Nguồn: securityonline. info

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học