Một lỗ hổng bảo mật được phát hiện trong phiên bản web của ví Ever Surf, nếu bị khai thác thành công có thể cho phép kẻ tấn công chiếm toàn quyền kiểm soát ví của nạn nhân.
Công ty bảo mật Check Point của Israel cho biết “khai thác thành công lỗ hổng có thể giải mã các khóa cá nhân và các seed được lưu trữ trong bộ nhớ cục bộ của trình duyệt. Nói cách khác, kẻ tấn công có thể giành toàn quyền kiểm soát ví của nạn nhân."
Ever Surf là một ví tiền điện tử dành cho nền tảng Everscale blockchain (trước đây là FreeTON, có khoảng 669.700 tài khoản trên khắp thế giới) cho phép người dùng truy cập các ứng dụng phi tập trung cũng như gửi và nhận các mã NFT.
Bằng các khai thác khác nhau như sử dụng các tiện ích (extension) độc hại trên trình duyệt hoặc liên kết lừa đảo, kẻ tấn công có thể lấy được các khóa mã hóa của ví và các seed được lưu trữ trong bộ nhớ cục bộ của trình duyệt, sau đó sử dụng nó để rút tiền trái phép.
Do thông tin trong bộ nhớ cục bộ không được mã hóa, nó có thể bị truy cập bởi các tiện ích bổ sung giả mạo của trình duyệt hoặc mã độc ăn cắp thông tin có khả năng thu thập dữ liệu từ các trình duyệt.
Sau khi lỗ hổng được phát hiện, một ứng dụng ví dành cho máy tính để bàn mới đã được phát hành để thay thế phiên bản web dễ bị tấn công hiện tại, các phiên bản web sau này sẽ không được dùng nữa và chỉ được sử dụng cho mục đích phát triển.
Alexander Chailytko của Check Point cho biết: "Khi làm việc với tiền điện tử, bạn luôn phải cẩn thận, đảm bảo thiết bị của bạn không có phần mềm độc hại, không mở các liên kết đáng ngờ, luôn cập nhật hệ điều hành và phần mềm chống vi-rút."
"Mặc dù lỗ hổng đã được vá trong phiên bản máy tính để bàn mới của ví Ever Surf, người dùng có thể gặp phải các mối đe dọa khác như lỗ hổng trong các ứng dụng phi tập trung hoặc các cuộc tấn công lừa đảo."
Nguồn: thehackernews.com.
Tín nhiệm mạng | Atlassian đã đưa ra cảnh báo bảo mật về một lỗ hổng nghiêm trọng trong phần mềm Jira cho phép kẻ tấn công không cần xác thực lợi dụng để vượt qua kiểm tra xác thực.
Tín nhiệm mạng | Ba lỗ hổng bảo mật đã được phát hiện trong bộ giải mã âm thanh của chip Qualcomm và MediaTek, có thể cho phép kẻ tấn công truy cập trái phép từ xa vào các cuộc trò chuyện trên các thiết bị di động bị ảnh hưởng.
Tín nhiệm mạng | Google Project Zero ghi nhận năm 2021 là "năm kỷ lục cho lỗ hổng zero-day" với 58 lỗ hổng bảo mật đã được phát hiện và tiết lộ, tăng gấp hơn hai lần so với mức tối đa trước đó.
Tín nhiệm mạng | Một lỗ hổng bảo mật hiện đã được vá trong hệ thống phát hiện và ngăn chặn xâm nhập (IDPS) Snort có thể gây ra sự cố từ chối dịch vụ (DoS) và khiến nó không còn khả năng ngăn chặn các lưu lượng độc hại.
Tín nhiệm mạng | Tin tặc đã tạo ra bản nâng cấp Windows 11 giả mạo nhằm lừa người dùng cài đặt để triển khai mã độc đánh cắp thông tin, nhắm đến những người muốn cài đặt Windows 11 mà không hiểu rõ các yêu cầu.
Tín nhiệm mạng | Một người dùng MetaMask đã mất hơn 655 nghìn đô do một cuộc tấn công lừa đảo xâm phạm tài khoản Apple.