Nhiều lỗ hổng bảo mật đã được phát hiện trong các package manager (phần mềm quản lý) phổ biến, có khả năng đã bị khai thác, cho phép kẻ tấn công thực thi mã tùy ý và truy cập thông tin nhạy cảm, bao gồm mã nguồn và access tokens từ các máy bị xâm nhập.
Nhà nghiên cứu Paul Gerste của SonarSource cho biết: “Để khai thác tấn công, tin tặc cần lừa các nhà phát triển tải các tệp không đúng định dạng và thực thi chúng”.
Package managers là những hệ thống hoặc bộ công cụ dùng để tự động cài đặt, nâng cấp, cấu hình các thành phần cần thiết (dependencies required) của bên thứ ba để phát triển ứng dụng.
Luôn có những rủi ro bảo mật tiềm ẩn bên trong các thư viện của bên thứ ba, có thể do các cuộc tấn công typosquatting và dependency confusion gây ra, vì vậy các nhà phát triển cần kiểm tra kỹ lưỡng trước khi phát hành chúng.
Các lỗ hổng mới được phát hiện trong nhiều công cụ quản lý khác nhau, có thể bị những kẻ tấn công lạm dụng để lừa nạn nhân thực thi mã độc, bao gồm:
- Composer phiên bản 1.x < 1.10.23 và 2.x < 2.1.9
- Bundler phiên bản trước 2.2.33
- Bower phiên bản trước 1.8.13
- Poetry phiên bản trước 1.1.9
- Yarn phiên bản trước 1.22.13
- pnpm phiên bản trước 6.15.1
- Pip (chưa có bản vá)
- Pipenv (chưa có bản vá)
Nghiêm trọng trong số đó là lỗ hổng command injection trong browse command của Composer có thể bị lạm dụng để thực thi mã tùy ý bằng cách chèn URL vào một package độc hại đã được phát hành.
Ngoài ra, các lỗ hổng argument injection and untrusted search path được phát hiện trong Bundler, Poetry, Yarn, Composer, Pip, và Pipenv cho phép kẻ xấu có thể thực thi mã bằng tệp git độc hại hoặc tệp do kẻ tấn công kiểm soát như Gemfile, được dùng để chỉ định các dependencies cho các chương trình Ruby.
Sau khi thông tin lỗ hổng được tiết lộ, các bản vá cho lỗ hổng trong Bundler, Bower, Poetry, Yarn, và Pnpm đã được phát hành. Lỗ hổng untrusted search path trong Composer, Pip và Pipen hiện vẫn chưa được khắc phục.
Người dùng nên kiểm tra và cập nhật lên các phiên bản không bị ảnh hưởng đối với các sản phẩm đã phát hành bản vá hoặc sử dụng một công cụ thay thế khác đối với các sản phẩm chưa được vá.
Nguồn: thehackernews.com.
and
và
liên từ
cùng, và, với
Tín nhiệm mạng | Microsoft đã xác nhận một vấn đề mới gây ra sự cố đăng ký Microsoft Intune trên một số thiết bị Android sau khi nâng cấp từ Android 11 lên Android 12.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện ba lỗ hổng bảo mật trong Hệ thống điện thoại đám mây (Cloud Phone System-CPS) Pascom có thể được kết hợp để đạt được thực thi mã từ xa mà không cần xác thực.
Tín nhiệm mạng | Google đã phát hành bản cập nhật bảo mật tháng 3 năm 2022 cho Android, khắc phục ba lỗ hổng nghiêm trọng, một trong số đó ảnh hưởng đến tất cả các thiết bị chạy phiên bản mới nhất của hệ điều hành di động.
Tín nhiệm mạng | Một trojan ngân hàng Android mới có tên SharkBot đã vượt qua các kiểm tra bảo mật của Cửa hàng Google Play bằng cách giả dạng ứng dụng chống virus.
Tín nhiệm mạng | Mozilla đã phát hành các bản cập nhật phần mềm cho trình duyệt Firefox để khắc phục hai lỗ hổng zero-day đã và đang bị khai thác trong thực tế.