🔥 Công ty Cổ phần MISA đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Thiết kế - Xây dựng và Đào tạo Kiến Thiết Việt đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Trang Trí Nội Thất Và Xây Dựng Gia Hân đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty Cổ Phần Truyền Thông Appnet đã đăng ký tín nhiệm. 🔥                    🔥 Tuấn Nguyễn Mobile đã đăng ký tín nhiệm. 🔥                   

Qualcomm và Lenovo phát hành các bản vá bảo mật để khắc phục nhiều lỗ hổng Chipset và BIOS

05/01/2023

Thứ Ba vừa qua, Qualcomm đã phát hành các bản cập nhật để giải quyết nhiều lỗ hổng bảo mật trong chipset của họ, một số trong đó có thể bị khai thác để gây lộ thông tin và hỏng bộ nhớ.

Năm lỗ hổng, có định danh từ CVE-2022-40516 đến CVE-2022-40520, cũng ảnh hưởng đến máy tính Lenovo ThinkPad X13s, khiến nhà sản xuất Lenovo phải phát hành các bản cập nhật BIOS để vá các lỗ hổng.

CVE-2022-40516, CVE-2022-40517 và CVE-2022-40520 (điểm CVSS: 8,4) liên quan đến lỗi tràn bộ đệm (stack-based buffer overflow) dẫn đến hỏng bộ nhớ trong Core

CVE-2022-40518 và CVE-2022-40519 (Điểm CVSS: 6,8) liên quan đến lỗi buffer over-read trong Core, có thể dẫn đến việc truy cập dữ liệu trái phép và gây lộ thông tin.

Các lỗ hổng stack-based buffer overflow có thể dẫn đến các tác động nghiêm trọng, như hỏng dữ liệu, sự cố hệ thống và thực thi mã tùy ý. Mặt khác, lỗi buffer over-read có thể bị khai thác để đọc bộ nhớ ngoài giới hạn, dẫn đến việc tiết lộ dữ liệu bí mật.

Lenovo lưu ý rằng việc khai thác thành công các lỗ hổng trên có thể cho phép một kẻ tấn công [đã ở trong mạng bị nhắm mục tiêu] với các đặc quyền nâng cao (elevated privileges) gây ra lỗi bộ nhớ hoặc rò rỉ thông tin nhạy cảm.

Lenovo cũng đã khắc phục bốn lỗ hổng buffer over-read khác, gồm CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 và CVE-2022-4435, trong BIOS ThinkPad X13 có thể dẫn đến tiết lộ thông tin.

Người dùng ThinkPad X13 nên cập nhật BIOS lên phiên bản 1.47 (N3HET75W) hoặc mới hơn để giảm thiểu các rủi ro tiềm ẩn. Công ty bảo mật firmware Binarly đã được ghi nhận là đã phát hiện và báo cáo chín lỗ hổng này.

Bản cập nhật bảo mật tháng 1 năm 2023 của Qualcomm cũng giải quyết 17 lỗ hổng khác, bao gồm một lỗi gây hỏng bộ nhớ nghiêm trọng trong thành phần Automotive (CVE-2022-33219, điểm CVSS: 9,3) phát sinh do lỗi tràn bộ đệm.

Nguồn: thehackernews.com

scrolltop