Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong thư viện (package) Python llama_cpp_python có thể bị các tác nhân đe dọa khai thác để thực thi mã tùy ý.
Có định danh CVE-2024-34359 (điểm CVSS: 9,7), đã được giải quyết trong phiên bản 0.2.72, lỗ hổng đã được công ty bảo mật chuỗi cung ứng phần mềm Checkmarx đặt tên là Llama Drama.
Nhà nghiên cứu Guy Nachshon cho biết: “Nếu bị khai thác, nó có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống của bạn, xâm phạm dữ liệu và hoạt động”.
llama_cpp_python, một Python binding cho thư viện llama.cpp, là package phổ biến với hơn 3 triệu lượt tải xuống cho đến nay, cho phép các nhà phát triển tích hợp các mô hình AI với Python.
Nhà nghiên cứu bảo mật Patrick Peng (retr0reg) được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.
Vấn đề cốt lõi bắt nguồn từ việc lạm dụng công cụ mẫu (template engine) Jinja2 trong llama_cpp_python, cho phép tấn công server-side template injection dẫn đến thực thi mã từ xa.
Checkmarx cho biết: “Việc khai thác lỗ hổng này có thể dẫn đến các hành động trái phép, bao gồm đánh cắp dữ liệu, xâm phạm hệ thống và làm gián đoạn hoạt động”.
“Việc phát hiện ra CVE-2024-34359 như một lời nhắc nhở rõ ràng về các lỗ hổng có thể phát sinh khi kết hợp giữa mô hình AI và bảo mật chuỗi cung ứng. Nó nhấn mạnh sự cần thiết phải thực hiện các biện pháp bảo mật thận trọng trong suốt vòng đời của hệ thống AI và các thành phần của chúng.”
Lỗ hổng thực thi mã trong PDF.js
Sự phát triển này diễn ra sau khi một lỗ hổng có độ nghiêm trọng mức cao (CVE-2024-4367) được phát hiện trong thư viện JavaScript PDF.js của Mozilla có thể cho phép thực thi mã tùy ý.
Mozilla cho biết rằng: “Việc kiểm tra loại dữ liệu đã bị thiếu trong khi xử lý phông chữ trong PDF.js, điều này sẽ cho phép thực thi JavaScript tùy ý trong ngữ cảnh PDF.js”.
Codean Labs cho biết lỗ hổng này cho phép kẻ tấn công thực thi mã JavaScript ngay khi tài liệu PDF độc hại được mở trong trình duyệt Firefox.
Sự cố đã được giải quyết trong Firefox 126, Firefox ESR 115.11 và Thunderbird 115.11 được phát hành vào tuần trước. Vấn đề này cũng đã được giải quyết trong mô-đun npm pdfjs-dist phiên bản 4.2.67 được phát hành vào ngày 29 tháng 4 năm 2024.
Nguồn: thehackernews.com.
Tín nhiệm mạng | GitHub đã triển khai các bản vá bảo mật để giải quyết một lỗ hổng có độ nghiêm trọng tối đa trong GitHub Enterprise Server (GHES) có thể cho phép kẻ tấn công vượt qua các biện pháp bảo vệ xác thực.
Một lỗ hổng nghiêm trọng của Fluent Bit có thể bị khai thác trong các cuộc tấn công từ chối dịch vụ và thực thi mã từ xa, ảnh hưởng đến tất cả các nhà cung cấp dịch vụ cloud lớn và nhiều công ty công nghệ lớn.
Các tác nhân đe dọa đứng sau trojan ngân hàng Grandoreiro đã quay trở lại trong một chiến dịch toàn cầu bắt đầu từ tháng 3 năm 2024 sau khi bị cơ quan thực thi pháp luật triệt phá vào tháng 1.
Thứ Năm vừa qua, cơ quan An ninh cơ sở hạ tầng và an ninh mạng Mỹ (CISA) đã bổ sung hai lỗ hổng bảo mật ảnh hưởng đến bộ định tuyến D-Link vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Các nhà nghiên cứu đã phát hiện một "chiến dịch đa diện" lạm dụng các dịch vụ hợp pháp như GitHub và FileZilla để phát tán một loạt mã độc đánh cắp thông tin và trojan ngân hàng như Atomic (còn gọi là AMOS), Vidar, Lumma (hay LummaC2) và Octo bằng cách giả mạo phần mềm đáng tin cậy như 1Password, Bartender 5 và Pixelmator Pro.
Tín nhiệm mạng | Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công nhằm lây nhiễm ransomware.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
