Cảnh báo lỗ hổng bảo mật tồn tại trong 7-Zip và bản cập nhật của Google Chrome
Bizfly Cloud vừa thu thập được các thông tin liên quan tới việc cảnh báo lỗ hổng bảo mật tồn tại trong 7-Zip và thông báo về bản cập nhật của Google Chrome cụ thể như sau:
1. Lỗ hổng bảo mật tồn tại trong 7-Zip
Trong 7-Zip tồn tại 2 lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các bản cài đặt 7-zip bị ảnh hưởng. Để khai thác lỗ hổng này cần có sự tương tác của người dùng, trong đó mục tiêu phải truy cập trang độc hại hoặc mở tệp độc hại.
- CVE-2023-40481 (CVSS 7.8): Lỗ hổng tồn tại trong quá trình phân tích cú pháp tệp SQFS, do thiếu xác thực dữ liệu do người dùng cung cấp, dẫn đến việc ghi vào bộ nhớ vượt qua kích thước của một vùng đệm đã được cấp phát. Kẻ tấn công có thể tận dụng lỗ hổng này để thực thi mã trong ngữ cảnh của tiến trình hiện tại.
- CVE-2023-31102 (CVSS 7.8): Lỗ hổng tồn tại trong quá trình phân tích cú pháp tệp 7Z, do thiếu xác thực dữ liệu do người dùng cung cấp, dẫn đến tràn số nguyên trước khi ghi vào bộ nhớ. Kẻ tấn công có thể tận dụng lỗ hổng này để thực thi mã trong ngữ cảnh của tiến trình hiện tại.
2. Google Chrome phát hành bản cập nhật
Google Chrome vừa phát hành bản cập nhật Stable Channel for Desktop dành cho Windows, Mac và Linux. Bản cập nhật này đã vá tổng cộng 1 lỗ hổng bảo mật được đánh giá là High (Cao). Lỗ hổng này sẽ cho phép kẻ tấn công từ xa khai thác lỗi heap qua trang HTML tự tạo; Từ đó sẽ cho phép kẻ tấn công thực thi mã tùy ý, từ chối dịch vụ hoặc làm lộ thông tin nhạy cảm.
Như vậy, để giảm thiểu sự cố người dùng có thể áp dụng những cách sau:
- Cập nhật 7-Zip lên phiên bản 23.00
- Chủ động update Chrome lên phiên bản 116.0.5845.140 (cho Linux và Mac), 116.0.5845.140 hoặc 116.0.5845.141 (cho Windows).
- Đồng thời kiểm tra kĩ các file trước khi tải xuống máy.
Link thông tin chi tiết về lỗ hổng bảo mật cùng bản cập nhật mới nhất của 7-Zip và bản cập nhật mới của Google Chrome:
- https://www.zerodayinitiative.com/advisories/ZDI-23-1164/
- https://www.zerodayinitiative.com/advisories/ZDI-23-1165/
- https://sourceforge.net/p/sevenzip/discussion/45797/thread/713c8a8269/?page=1
- https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_29.html
>> Xem thêm: Hướng dẫn cách nén file nhỏ nhất bằng 7-zip, WinRAR, PeaZip
Bizfly Cloud - Top 4 nhà cung cấp đám mây đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật, an toàn thông tin của Bộ TT&TT.
Tiền thân là VCCloud - trực thuộc công ty Cổ phần VCCorp, tiên phong cung cấp các giải pháp Cloud IT đáp ứng đầy đủ các nhu cầu về hạ tầng của doanh nghiệp Việt.
Bizfly Cloud - Đơn vị HÀNG ĐẦU cung cấp giải pháp hạ tầng IT/Cloud phục vụ Chuyển đổi số cho doanh nghiệp tại Việt Nam.
