Apple tung bản vá khẩn cấp cho lỗ hổng nghiêm trọng nhất thập kỷ

0
0

Apple đã tung bản vá khẩn cấp để giải quyết Log4Shell, lỗ hổng được nhận định là "nghiêm trọng nhất thập kỷ" vừa được phát hiện gần đây.

9to5Mac dẫn nguồn tin từ Macworld mới đây cho biết, Apple, Microsoft và hàng loạt ông lớn công nghệ khác đã nhanh chóng tung bản vá Log4Shell - lỗ hổng được nhận định là "nghiêm trọng nhất thập kỷ" được phát hiện gần đây.

Theo Eclectic Light Company, Apple đã vá lỗ hổng này trong iCloud. Báo cáo cho biết rằng các nhà nghiên cứu đã ghi nhận lỗ hổng khi kết nối với iCloud thông qua web vào hai ngày 9-10/12, tuy nhiên đến ngày 11 tháng 12, lỗ hổng này đã được khắc phục. Nguồn tin cho biết, lỗ hổng này dường như không ảnh hưởng đến macOS.

 

Lỗ hổng có tên Log4Shell được phát hiện trong Apache Log4j phiên bản từ 2.0 đến 2.14.1, cho phép kẻ xấu thực hiện các cuộc tấn công thực thi mã từ xa

Log4Shell là lỗ hổng tồn tại trên Apache Log4j - thư viện ghi log (nhật ký hoạt động) trong Java, tồn tại trong nhiều ứng dụng hiện nay và được sử dụng phổ biến trong các mạng nội bộ doanh nghiệp, cơ quan,…

Amit Yoran - CEO công ty an ninh mạng Tenable cho rằng, Log4Shell là "lỗ hổng bảo mật lớn nhất, nghiêm trọng nhất thập kỷ qua". Trong khi đó, tổ chức giám sát sự phát triển của phần mềm Apache Software Foundation xếp hạng lỗ hổng ở thang điểm 10/10, tức nằm ở mức nguy hiểm nhất.

 

Mức độ nghiêm trọng của lỗ hổng này khiến nhiều chuyên gia bảo mật trên thế giới lo ngại

Chỉ thời gian ngắn sau khi được công bố, lỗ hổng này đã được các hacker nhanh tay khai thác. Trong khoảng 24 giờ, công ty bảo mật CheckPoint ghi nhận hơn 100.000 lần thử khai thác lỗ hổng này, khoảng một nửa trong số đó đến từ các hacker nhắm đến tiền điện tử của các nạn nhân. Phần còn lại là từ các nhà nghiên cứu an ninh mạng hoặc nhân viên chính phủ kiểm tra lại hạ tầng mạng quốc gia.

Theo cảnh báo từ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), thuộc Cục An toàn thông tin - Bộ Thông tin và Truyền thông "lỗ hổng này nghiêm trọng và có mức độ ảnh hưởng lớn".

 

VSEC khuyến nghị các cơ quan, tổ chức, doanh nghiệp cần kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng Apache Log4j

Trong khi đó, VSEC (Công ty Cổ phần An ninh mạng Việt Nam) khuyến nghị các cơ quan, tổ chức, doanh nghiệp cần kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng Apache Log4j. Các đơn vị cần cập nhật lên phiên bản mới nhất từ phiên bản log4j-2.15.0-rc2 để khắc phục lỗ hổng bảo mật nói trên cũng như các lỗ hổng bảo mật mới phát hiện khác.

Đồng thời, nâng cấp các ứng dụng và thành phần liên quan có khả năng bị ảnh hưởng, ví dụ như spring-boot-starter-log4j2, Apache Solr, Apache Flink, Apache Druid…

Các cơ quan, tổ chức, doanh nghiệp cũng được khuyến nghị tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; và thường xuyên theo dõi kênh cảnh báo của các đơn vị chuyên môn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

(theo Tổ quốc)


Ý kiến bạn đọc


Áp bảng giá đất theo giá thị trường: Bằng cách nào?

(VnMedia)- Nếu quy định xây dựng bảng giá đất hàng năm thì quy định hệ số điều chỉnh biến động giá đất phải được HĐND cấp tỉnh thông qua trước khi ban hành là không cần thiết mà nên giao cho UBND cấp tỉnh ban hành hệ số điều chỉnh biến động giá đất.

6 dấu hiệu người mắc bệnh sốt xuất huyết phải nhập viện ngay

(VnMedia) - Bệnh sốt xuất huyết là bệnh truyền nhiễm cấp tính, nguy hiểm có thể gây thành dịch vào mùa mưa do virus Dengue gây ra. Bệnh lây lan do muỗi vằn đốt người bệnh nhiễm virus sau đó truyền bệnh cho người lành qua vết đốt.

Chính thức giảm một nửa thuế nhập khẩu ưu đãi với xăng

(VnMedia) - Mức thuế suất thuế nhập khẩu đối với mặt hàng xăng động cơ, không pha chì (thuộc mã HS từ 2710.12.21 đến 2710.12.29) được điều chỉnh giảm từ 20% xuống 10%.

Tội phạm ma túy thời công nghệ 4.0 'nở rộ' và đáng báo động

(VnMedia) - Tội phạm ma túy không chỉ sử dụng các thiết bị tiên tiến, hiện đại để vận chuyển, điều chế các chất ma túy mới, mà còn lợi dụng triệt để không gian ảo trên internet, mạng xã hội và các trang thương mại điện tử... như một kênh thông tin hiện đại để liên lạc, mua bán, giao dịch ma túy.

Tổng thống Ukraine đòi cấm mọi người Nga trên toàn thế giới

(VnMedia) - Miêu tả các biện pháp trừng phạt Nga hiện nay là “yếu ớt” Tổng thống Ukraine Vladimir Zelensky hôm qua (8/8) đã nói với tờ Washington Post rằng phương Tây cần phải áp đặt một lệnh cấm vận hoàn toàn đối với tất cả các hoạt động nhập khẩu năng lượng từ Nga và cấm tất cả người Nga ở mọi nơi trên thế giới trong ít nhất một năm.