Ethreum đang kêu gọi các nhà phát triển nhanh chóng cập nhật bản vá go-ethereum phiên bản 1.10.8 để khắc phục lỗ hổng bảo mật có mức độ nghiêm trọng cao.
Lỗ hổng có mã CVE-2021-39137, do Guido Vranken - chuyên gia bảo mật của công ty bảo mật blockchain Sentnl phát hiện trong quá trình kiểm tra nền tảng Telos EVM, ảnh hưởng đến việc triển khai Golang của giao thức Ethereum (Geth).
Lỗ hổng có thể gây ra phân tách chuỗi, và dẫn đến các sự cố ngừng hoạt động, như sự cố mạng Ethereum từ năm ngoái.
Chi tiết tấn công chưa được công bố
Các nhà phát triển Ethereum đã có thông báo sớm về “bản hot fix” cho lỗ hổng từ một tuần trước khi phát hành bản vá.
Thông tin chi tiết về cách khai thác lỗ hổng sẽ không được công khai cho đến khi hầu hết các nhà phát triển cập nhật bản vá.
Péter Szilágyi, trưởng nhóm Ethereum, cho biết: "Tất cả các phiên bản Geth hỗ trợ hard fork ở London đều có thể bị tấn công, vì vậy tất cả người dùng nên cập nhật bản vá".
Các lỗ hổng "phân tách chuỗi" trong Blockchain rất nguy hiểm vì việc khai thác chúng có thể gây ra tình trạng ngừng hoạt động, ảnh hưởng đến việc rút tiền điện tử và tính toàn vẹn của mạng tiền điện tử.
Hiện không có giải pháp thay thế nào để khắc phục lỗ hổng. Các dịch vụ và nhà phát triển Blockchain dựa trên go - ethereum nên nhanh chóng nâng cấp lên phiên bản v1.10.8 trở lên.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Facebook đã cập nhật chương trình bug bounty của mình để cho phép các nhà nghiên cứu bảo mật gửi báo cáo chung và hỗ trợ chia nhỏ tiền thưởng nhận được cho họ.
Tín nhiệm mạng | F5 đã phát hành bản vá cho 29 lỗ hổng bảo mật ảnh hưởng đến các thiết bị BIG-IP và BIG-IQ. Các lỗ hổng cho phép kẻ tấn công thực hiện một loạt các hành động độc hại, bao gồm việc truy cập các tệp tùy ý, leo thang đặc quyền và thực thi mã JavaScript.
Tín nhiệm mạng | Chiếm quyền quản trị Windows 10 bằng thiết bị SteelSeries: Sau khi jonhat phát hiện lỗ hổng leo thang quyền cục bộ (LPE) trong phần mềm Razer Synapse (lỗ hổng cho phép kẻ tấn công chiếm quyền quản trị trên Windows bằng cách cắm chuột hoặc bàn phím Razer), nhà nghiên cứu bảo mật Lawrence Amer cũng tìm thấy lỗ hổng tương tự trong phần mềm cài đặt thiết bị SteelSeries.
Tín nhiệm mạng | Một phiên bản sửa đổi của ứng dụng nhắn tin WhatsApp dành cho Android đã bị nhiễm trojan Triada nhằm phát tán mã độc, hiển thị quảng cáo và ăn cắp thông tin.
Tín nhiệm mạng | Nhận thức được các nguy cơ tiềm ẩn có thể sẽ xảy ra với các hệ thống công nghệ đang được triển khai phục vụ phòng, chống đại dịch COVID-19 tại Việt Nam, Trung tâm NCSC và VNSecurity phối hợp ra mắt Nền tảng tìm kiếm lỗ hổng bảo mật BugRank.
Tín nhiệm mạng | Một lỗ hổng "zero-click" trong iMessage của Apple đã bị NSO Group của Israel sử dụng để phá vỡ các biện pháp bảo vệ của iOS và nhắm mục tiêu vào 9 nhà hoạt động người Bahrain.