Một lỗ hổng bảo mật trong Apple Safari đã bị khai thác vào đầu năm nay, ban đầu đã được vá vào năm 2013 và xuất hiện lại vào tháng 12 năm 2016 [theo báo cáo từ Google Project Zero].
Lỗ hổng có định danh CVE-2022-22620 (điểm CVSS: 8,8), liên quan đến lỗi use-after-free trong thành phần WebKit, có thể bị khai thác để thực thi mã tùy ý.
Vào đầu tháng 2 năm 2022, Apple đã phát hành các bản vá cho lỗ hổng này trên Safari, iOS, iPadOS và macOS, đồng thời thừa nhận rằng nó "có thể đã bị khai thác trong thực tế."
Maddie Stone của Google Project Zero cho biết "lỗ hổng đã được khắc phục khi được báo cáo lần đầu vào năm 2013". "Tuy nhiên, biến thể của nó đã được phát hiện vào ba năm sau đó. Nó tiếp tục tồn tại trong 5 năm dưới dạng lỗ hổng zero-day cho đến khi được khắc phục vào tháng 1 năm 2022."
Cả hai lỗ hổng được phát hiện vào năm 2013 và 2022 trong History API về cơ bản là giống nhau, nhưng các đường dẫn để kích hoạt lỗ hổng là khác nhau. Những thay đổi mã nguồn liên tiếp được thực hiện nhiều năm sau đó đã làm ‘sống lại’ lỗ hổng zero-day.
Stone nhấn mạnh rằng cần dành đủ thời gian để kiểm tra mã nguồn và các bản cập nhật để tránh phải sao chép các bản vá lỗi và hiểu các tác động bảo mật của các thay đổi đang được thực hiện.
Stone cho biết "hai lần commit vào tháng 10 năm 2016 và tháng 12 năm 2016 đều có sự thay đổi rất lớn: vào tháng 10 đã thay đổi 40 tệp với 900 lần bổ sung và 1225 lần xóa; vào tháng 12 đã thay đổi 95 tệp với 1336 lần bổ sung và 1325 lần xóa".
"Có vẻ như bất kỳ nhà phát triển hoặc người đánh giá nào cũng không thể hiểu chi tiết ý nghĩa bảo mật của từng thay đổi trong các commit đó".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Lỗ hổng nghiêm trọng được vá gần đây trong các sản phẩm Atlassian Confluence Server và Data Center đang bị khai thác trong các cuộc tấn công để phát tán phần mềm độc hại.
Tín nhiệm mạng | Trong khi làm việc từ xa đang trở thành tiêu chuẩn ở hầu hết mọi nơi làm việc, có vẻ như scan Agent-based là một điều bắt buộc, và scan Network-based là một tùy chọn bổ sung.
Tín nhiệm mạng | Cisco khuyến nghị người dùng các bộ định tuyến Small Business RV lỗi thời nên nâng cấp lên các sản phẩm mới hơn sau khi tiết lộ lỗ hổng thực thi mã từ xa sẽ không được vá.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện một mã độc Android mới đang nhắm mục tiêu vào người dùng ví tiền điện tử và ngân hàng trực tuyến ở Tây Ban Nha và Ý.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về lỗ hổng bảo mật mức cao được vá gần đây trong thư viện phổ biến Fastjson, có thể bị khai thác để thực thi mã từ xa.
Tín nhiệm mạng | Cloudflare vừa ngăn chặn một cuộc tấn công DDoS HTTPS lớn nhất lịch sự với kỷ lục 26 triệu request trên mỗi giây.