Những người bảo trì OpenSSL đã phát hành các bản vá để khắc phục một lỗ hổng bảo mật mức cao trong thư viện phần mềm của họ có thể gây ra từ chối dịch vụ (DoS).
Có định danh là CVE-2022-0778 (điểm CVSS: 7,5), lỗ hổng bắt nguồn từ việc phân tích cú pháp một certificate (chứng chỉ) không đúng định dạng với các tham số elliptic-curve, dẫn đến vấn đề "vòng lặp vô hạn". Lỗ hổng nằm trong một hàm có tên BN_mod_sqrt () được sử dụng để tính căn bậc hai mô-đun.
Trong một công bố vào ngày 15 tháng 3 vừa qua, OpenSSL cho biết "vì quá trình phân tích chứng chỉ xảy ra trước khi xác minh chữ ký chứng chỉ, và chứng chỉ có thể được cung cấp từ bên ngoài do đó có thể dẫn đến nguy cơ gây ra từ chối dịch vụ".
"Vòng lặp vô hạn cũng có thể xảy ra khi phân tích cú pháp các khóa bí mật (private key) được tạo thủ công vì chúng có thể chứa các tham số elliptic-curve."
Hiện chưa có thông tin cho thấy lỗ hổng đã bị khai thác trong thực tế, nhưng có một số trường hợp có thể bị lạm dụng, như khi máy chủ TLS truy cập chứng chỉ giả mạo từ một máy chủ độc hại hoặc khi cơ quan cấp chứng chỉ phân tích các request chứa chứng chỉ từ người đăng ký.
Lỗ hổng này ảnh hưởng đến các phiên bản OpenSSL 1.0.2, , 1.1.0, 1.1.1 và 3.0. Nhà phát triển dự án đã phát hành các bản khắc phục lỗ hổng trong phiên bản 1.0.2zd, 1.1.1n và 3.0.2. Phiên bản đã lỗi thời, OpenSSL 1.1.0 không còn được hỗ trợ bản vá.
Nhà nghiên cứu bảo mật Tavis Ormandy của Google Project Zero đã phát hiện và báo cáo lỗ hổng vào ngày 24 tháng 2 năm 2022. Bản vá lỗ hổng được phát triển bởi David Benjamin từ Google và Tomáš Mráz từ OpenSSL.
CVE-2022-0778 cũng là lỗ hổng OpenSSL thứ hai được giải quyết kể từ đầu năm nay. Vào ngày 28 tháng 1 năm 2022, những người bảo trì phần mềm đã vá một lỗ hổng có mức trung bình (CVE-2021-4160, điểm CVSS: 5,9) ảnh hưởng đến hàm tính bình phương MIPS32 và MIPS64 của thư viện.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Ủy ban bảo vệ dữ liệu Ireland đã phạt Meta 17 triệu euro vì một loạt vi phạm bảo mật theo luật GDPR của Liên minh châu Âu trong khu vực.
Tín nhiệm mạng | Vào thứ Hai, một số trang web của chính phủ Israel đã bị gián đoạn hoạt động do một cuộc tấn công từ chối dịch vụ (DDoS).
Tín nhiệm mạng | Năm 2021, sự tập trung của các tác nhân đe dọa trên nền tảng di động đã tăng lên so với những năm trước, các chiến dịch phát tán mã độc, tấn công lừa đảo và những nỗ lực khai thác các lỗ hổng zero-day nhằm vào người dùng di động cũng gia tăng đáng kể.
Tín nhiệm mạng | Phát hiện chiến dịch phát tán mã độc mới sử dụng chiêu trò lừa đảo Valorant trên YouTube để lừa người chơi tải xuống và cài đặt mã độc đánh cắp thông tin RedLine.
Tín nhiệm mạng | Nhiều lỗ hổng bảo mật đã được phát hiện trong các package manager phổ biến, có khả năng đã bị khai thác, cho phép kẻ tấn công thực thi mã tùy ý và truy cập thông tin nhạy cảm.
Tín nhiệm mạng | Microsoft đã xác nhận một vấn đề mới gây ra sự cố đăng ký Microsoft Intune trên một số thiết bị Android sau khi nâng cấp từ Android 11 lên Android 12.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
