WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Cảnh báo: Lỗ hổng thực thi mã từ xa trong WinRAR ảnh hưởng hàng trăm triệu người dùng
Phần mềm WinRAR đang tồn tại lỗ hổng cho phép tin tặc thực thi mã từ xa trên thiết bị mục tiêu. Đây là phần mềm nén và giải nén tệp tin phổ biến nhất hiện nay với hàng trăm triệu người dùng trên toàn thế giới.
Lỗ hổng được đánh giá ở mức nghiêm trọng, có mã định danh CVE-2023-40477, điểm CVSS 7,8.
Tuy nhiên, việc khai thác lỗ hổng cần phải có tương tác của người dùng, tức là tin tặc phải lừa nạn nhân tải xuống file nén chứa mã độc. Theo các chuyên gia WhiteHat, với mức độ phổ biến trên toàn thế giới của WinRAR, tin tặc có thể thực hiện các chiến dịch tấn công quy mô lớn nhắm vào người dùng. Do vậy, người dùng không nên chủ quan trước lỗ hổng này,
Vấn đề xuất phát từ việc xử lý recovery volume (tính năng giúp tạo các tập tin dự phòng có khả năng sửa chữa và phục hồi dữ liệu bị hỏng trong tập tin nén) trong WinRAR dẫn đến việc xác thực không hợp lệ dữ liệu do người dùng cung cấp. Việc này có thể dẫn đến tình huống quyền truy cập bộ nhớ vượt quá mức bộ đệm được phân bổ, tạo cơ hội lớn cho kẻ tấn công thực thi mã tùy ý trên tất cả các hệ thống mà WinRAR được cài đặt.
WinRAR đã phát hành hiên bản WinRAR 6.23 để vá lỗ hổng này. Người dùng cần cập nhật lên phiên bản mới ngay lập tức để tránh bị tấn công theo các bước sau:
Các phiên bản ClamAV từ 1.1.x đến trước 1.1.2, từ 1.0.x đến trước 1.0.3 và từ 0.103.x đến trước 0.103.10 đều bị ảnh hưởng bởi lỗ hổng này. Hiện bản vá cho các phiên bản ClamAV 1.2.0 và 1.1.1, 1.0.2, 0.103.10 đã được phát hành. Người dùng ClamAV nên cập nhật lên phiên bản mới nhất càng sớm càng tốt.
Lỗ hổng được đánh giá ở mức nghiêm trọng, có mã định danh CVE-2023-40477, điểm CVSS 7,8.
Tuy nhiên, việc khai thác lỗ hổng cần phải có tương tác của người dùng, tức là tin tặc phải lừa nạn nhân tải xuống file nén chứa mã độc. Theo các chuyên gia WhiteHat, với mức độ phổ biến trên toàn thế giới của WinRAR, tin tặc có thể thực hiện các chiến dịch tấn công quy mô lớn nhắm vào người dùng. Do vậy, người dùng không nên chủ quan trước lỗ hổng này,
Vấn đề xuất phát từ việc xử lý recovery volume (tính năng giúp tạo các tập tin dự phòng có khả năng sửa chữa và phục hồi dữ liệu bị hỏng trong tập tin nén) trong WinRAR dẫn đến việc xác thực không hợp lệ dữ liệu do người dùng cung cấp. Việc này có thể dẫn đến tình huống quyền truy cập bộ nhớ vượt quá mức bộ đệm được phân bổ, tạo cơ hội lớn cho kẻ tấn công thực thi mã tùy ý trên tất cả các hệ thống mà WinRAR được cài đặt.
WinRAR đã phát hành hiên bản WinRAR 6.23 để vá lỗ hổng này. Người dùng cần cập nhật lên phiên bản mới ngay lập tức để tránh bị tấn công theo các bước sau:
- Bước 1: Mở WinRAR trên máy tính
- Bước 2: Ấn Help, rồi tới About WinRAR
- Bước 3: Kiểm tra phiên bản
- Bước 4: Tải xuống phiên bản WinRAR mới nhất (WinRAR 6.23)
- Cân nhắc kỹ lưỡng khi tải và mở các tệp tin lạ trên mạng
- Sử dụng tường lửa để chặn các lưu lượng độc hại
- Thường xuyên cập nhật phần mềm
- Sử dụng các chương trình diệt virus đáng tin cậy
CẬP NHẬT:
Các chuyên gia an ninh mạng lo ngại rằng ClamAV có thể bị ảnh hưởng bởi lỗ hổng CVE-2023-40477. Nguyên nhân xuất phát từ “UnRAR” - một thư viện mã nguồn mở được tạo bởi các nhà phát triển WinRAR. ClamAV tích hợp thư viện này dưới tên gọi “libclamunrar”.Các phiên bản ClamAV từ 1.1.x đến trước 1.1.2, từ 1.0.x đến trước 1.0.3 và từ 0.103.x đến trước 0.103.10 đều bị ảnh hưởng bởi lỗ hổng này. Hiện bản vá cho các phiên bản ClamAV 1.2.0 và 1.1.1, 1.0.2, 0.103.10 đã được phát hành. Người dùng ClamAV nên cập nhật lên phiên bản mới nhất càng sớm càng tốt.
Theo Security Online, WhiteHat
Chỉnh sửa lần cuối bởi người điều hành: