Google đã phát hành bản cập nhật bảo mật tháng Mười một cho Android để vá 39 lỗ hổng, bao gồm một lỗ hổng zero-day được cho là đã bị khai thác trong thực tế.
Lỗ hổng zero-day có mã CVE-2021-1048, liên quan đến lỗi use-after-free trong kernel cho phép đối tượng tấn công leo thang đặc quyền cục bộ.
Các vấn đề use-after-free thường rất nghiêm trọng, nó có thể cho phép tác nhân đe dọa truy cập bộ nhớ trái phép, thực thi mã tùy ý và giành quyền kiểm soát hệ thống của nạn nhân.
Google cho biết "có dấu hiệu cho thấy CVE-2021-1048 đã bị khai thác trong thực tế" nhưng không tiết lộ thêm chi tiết kỹ thuật về lỗ hổng, bản chất của các cuộc tấn công và danh tính của những tin tặc có thể đã lạm dụng lỗ hổng.
Bản vá bảo mật cũng khắc phục hai lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng (CVE-2021-0918 và CVE-2021-0930) trong thành phần Hệ thống.
Hai lỗ hổng nghiêm trọng khác, CVE-2021-1924 (lỗ hổng tiết lộ thông tin) và CVE-2021-1975 (lỗ hổng truy cập bộ nhớ trái phép), ảnh hưởng đến các thành phần mã nguồn của Qualcomm.
Lỗ hổng nghiêm trọng thứ năm trong Android TV (CVE-2021-0889) cho phép kẻ tấn công ở gần âm thầm ghép nối với TV và thực thi mã tùy ý mà không cần đặc quyền hoặc tương tác của người dùng.
Với bản cập nhật mới nhất, Google đã vá tổng cộng 6 lỗ hổng zero-day trong Android kể từ đầu năm nay, bao gồm CVE-2021-1048 và:
- CVE-2020-11261 (Điểm CVSS: 8,4) - Lỗ hổng do thiếu kiểm tra xác thực trong thành phần đồ họa Qualcomm.
- CVE-2021-1905 (Điểm CVSS: 8,4) - Lỗi use-after-free trong thành phần Đồ họa Qualcomm
- CVE-2021-1906 (Điểm CVSS: 6.2) - Lỗ hổng gây ra lỗi cấp phát địa chỉ GPU trong thành phần đồ họa Qualcomm.
- CVE-2021-28663 (Điểm CVSS: 8,8) - Lỗ hổng cho phép leo thang đặc quyền hoặc gây tiết lộ thông tin trong Arm Mali GPU kernel driver.
- CVE-2021-28664 (Điểm CVSS: 8,8) - Lỗ hổng cho phép leo thang đặc quyền hoặc gây từ chối dịch vụ trong Arm Mali GPU kernel driver.
Nguồn: thehackernews.com
Tín nhiệm mạng | Chính phủ Mỹ đã công bố phần thưởng 10 triệu đô la cho thông tin giúp xác định danh tính hoặc vị trí của các thành viên chủ chốt trong nhóm ransomware DarkSide.
Tín nhiệm mạng | Trong ngày đầu tiên của cuộc thi Pwn2Own Austin 2021, các thí sinh đã giành được 362.500 đô la sau khi khai thác các lỗ hổng bảo mật chưa được tiết lộ trước đó trên các thiết bị ...
Tín nhiệm mạng | Một dạng lừa đảo mới trên Steam được quảng bá thông qua tin nhắn Discord với nội dung hứa hẹn đăng ký Nitro miễn phí nếu người dùng liên kết tài khoản Steam của họ. Nếu người dùng làm theo, tin tặc sẽ lấy được tài khoản...
Tín nhiệm mạng | Google thông báo sẽ thưởng tiền cho các nhà nghiên cứu bảo mật để tìm ra các khai thác lỗ hổng, đã hoặc chưa được khắc phục trước đó, trong ba tháng tới như một phần của chương trình bug bounty mới nhằm cải thiện bảo mật của Linux kernel.
Tín nhiệm mạng | Facebook thông báo sẽ không sử dụng hệ thống nhận dạng khuôn mặt trên nền tảng của mình nữa và sẽ xóa hơn 1 tỷ hồ sơ nhận dạng khuôn mặt của người dùng trong những tuần tới.
Tín nhiệm mạng | Một lỗ hổng có mức độ nghiêm trọng cao cho phép đối tượng tấn công truy cập API trái phép và tiết lộ thông tin nhạy cảm, ảnh hưởng đến tất cả Plugin OptinMonster phiên bản trước 2.6.5 trên khoảng một triệu trang web WordPress.