Thứ Ba vừa qua, Qualcomm đã phát hành các bản cập nhật để giải quyết nhiều lỗ hổng bảo mật trong chipset của họ, một số trong đó có thể bị khai thác để gây lộ thông tin và hỏng bộ nhớ.
Năm lỗ hổng, có định danh từ CVE-2022-40516 đến CVE-2022-40520, cũng ảnh hưởng đến máy tính Lenovo ThinkPad X13s, khiến nhà sản xuất Lenovo phải phát hành các bản cập nhật BIOS để vá các lỗ hổng.
CVE-2022-40516, CVE-2022-40517 và CVE-2022-40520 (điểm CVSS: 8,4) liên quan đến lỗi tràn bộ đệm (stack-based buffer overflow) dẫn đến hỏng bộ nhớ trong Core
CVE-2022-40518 và CVE-2022-40519 (Điểm CVSS: 6,8) liên quan đến lỗi buffer over-read trong Core, có thể dẫn đến việc truy cập dữ liệu trái phép và gây lộ thông tin.
Các lỗ hổng stack-based buffer overflow có thể dẫn đến các tác động nghiêm trọng, như hỏng dữ liệu, sự cố hệ thống và thực thi mã tùy ý. Mặt khác, lỗi buffer over-read có thể bị khai thác để đọc bộ nhớ ngoài giới hạn, dẫn đến việc tiết lộ dữ liệu bí mật.
Lenovo lưu ý rằng việc khai thác thành công các lỗ hổng trên có thể cho phép một kẻ tấn công [đã ở trong mạng bị nhắm mục tiêu] với các đặc quyền nâng cao (elevated privileges) gây ra lỗi bộ nhớ hoặc rò rỉ thông tin nhạy cảm.
Lenovo cũng đã khắc phục bốn lỗ hổng buffer over-read khác, gồm CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 và CVE-2022-4435, trong BIOS ThinkPad X13 có thể dẫn đến tiết lộ thông tin.
Người dùng ThinkPad X13 nên cập nhật BIOS lên phiên bản 1.47 (N3HET75W) hoặc mới hơn để giảm thiểu các rủi ro tiềm ẩn. Công ty bảo mật firmware Binarly đã được ghi nhận là đã phát hiện và báo cáo chín lỗ hổng này.
Bản cập nhật bảo mật tháng 1 năm 2023 của Qualcomm cũng giải quyết 17 lỗ hổng khác, bao gồm một lỗi gây hỏng bộ nhớ nghiêm trọng trong thành phần Automotive (CVE-2022-33219, điểm CVSS: 9,3) phát sinh do lỗi tràn bộ đệm.
Nguồn: thehackernews.com
Tín nhiệm mạng | Các trang web WordPress đang bị nhắm mục tiêu bởi một họ phần mềm độc hại Linux mới. Mã độc này khai thác các lỗ hổng trong khoảng ba mươi plugin và theme để xâm phạm các hệ thống dễ bị tấn công.
Tín nhiệm mạng | Nhiều người dùng ví điện tử BitKeep bị mất sạch tiền trong ví trong dịp Giáng sinh sau khi tin tặc kích hoạt các giao dịch không yêu cầu xác minh.
Tín nhiệm mạng | Zerobot đã bổ sung các khai thác mới và khả năng tấn công từ chối dịch vụ, mở rộng phạm vi nhắm mục tiêu vào các thiết bị IoT.
Tín nhiệm mạng | Một kẻ đe dọa đang rao bán dữ liệu của 400 triệu người dùng Twitter được thu thập vào năm 2021 thông qua lỗ hổng API hiện đã được vá.
Tín nhiệm mạng | Nhiều lỗ hổng nghiêm trọng đã được tiết lộ trong giải pháp quản lý mật khẩu Passwordstate có thể bị kẻ tấn công khai thác để lấy cắp mật khẩu của người dùng mà không cần xác thực.
Tín nhiệm mạng | Microsoft đã xác nhận rằng Samsung và Google đã khắc phục sự cố đăng ký Intune ảnh hưởng đến điện thoại thông minh Galaxy S22 chạy Android 13.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
