Apple tung bản vá khẩn cấp cho lỗ hổng nghiêm trọng nhất thập kỷ, có thể ảnh hưởng nhiều hệ thống ở Việt Nam

Huỳnh Duy16:10 15/12/2021

Apple đã tung bản vá khẩn cấp để giải quyết Log4Shell, lỗ hổng được nhận định là “nghiêm trọng nhất thập kỷ” vừa được phát hiện gần đây.

9to5Mac dẫn nguồn tin từ Macworld mới đây cho biết, Apple, Microsoft và hàng loạt ông lớn công nghệ khác đã nhanh chóng tung bản vá Log4Shell – lỗ hổng được nhận định là “nghiêm trọng nhất thập kỷ” được phát hiện gần đây.

Theo Eclectic Light Company, Apple đã vá lỗ hổng này trong iCloud. Báo cáo cho biết rằng các nhà nghiên cứu đã ghi nhận lỗ hổng khi kết nối với iCloud thông qua web vào hai ngày 9-10/12, tuy nhiên đến ngày 11 tháng 12, lỗ hổng này đã được khắc phục. Nguồn tin cho biết, lỗ hổng này dường như không ảnh hưởng đến macOS.

Lỗ hổng có tên Log4Shell được phát hiện trong Apache Log4j phiên bản từ 2.0 đến 2.14.1, cho phép kẻ xấu thực hiện các cuộc tấn công thực thi mã từ xa

Log4Shell là lỗ hổng tồn tại trên Apache Log4j – thư viện ghi log (nhật ký hoạt động) trong Java, tồn tại trong nhiều ứng dụng hiện nay và được sử dụng phổ biến trong các mạng nội bộ doanh nghiệp, cơ quan,…

Video đang HOT

Amit Yoran – CEO công ty an ninh mạng Tenable cho rằng, Log4Shell là “ lỗ hổng bảo mật lớn nhất, nghiêm trọng nhất thập kỷ qua”. Trong khi đó, tổ chức giám sát sự phát triển của phần mềm Apache Software Foundation xếp hạng lỗ hổng ở thang điểm 10/10, tức nằm ở mức nguy hiểm nhất.

Mức độ nghiêm trọng của lỗ hổng này khiến nhiều chuyên gia bảo mật trên thế giới lo ngại

Chỉ thời gian ngắn sau khi được công bố, lỗ hổng này đã được các hacker nhanh tay khai thác. Trong khoảng 24 giờ, công ty bảo mật CheckPoint ghi nhận hơn 100.000 lần thử khai thác lỗ hổng này, khoảng một nửa trong số đó đến từ các hacker nhắm đến tiền điện tử của các nạn nhân. Phần còn lại là từ các nhà nghiên cứu an ninh mạng hoặc nhân viên chính phủ kiểm tra lại hạ tầng mạng quốc gia.

Theo cảnh báo từ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), thuộc Cục An toàn thông tin – Bộ Thông tin và Truyền thông “lỗ hổng này nghiêm trọng và có mức độ ảnh hưởng lớn”.

VSEC khuyến nghị các cơ quan, tổ chức, doanh nghiệp cần kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng Apache Log4j

Trong khi đó, VSEC (Công ty Cổ phần An ninh mạng Việt Nam) khuyến nghị các cơ quan, tổ chức, doanh nghiệp cần kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng Apache Log4j. Các đơn vị cần cập nhật lên phiên bản mới nhất từ phiên bản log4j-2.15.0-rc2 để khắc phục lỗ hổng bảo mật nói trên cũng như các lỗ hổng bảo mật mới phát hiện khác.

Đồng thời, nâng cấp các ứng dụng và thành phần liên quan có khả năng bị ảnh hưởng, ví dụ như spring-boot-starter-log4j2, Apache Solr, Apache Flink, Apache Druid…

Các cơ quan, tổ chức, doanh nghiệp cũng được khuyến nghị tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; và thường xuyên theo dõi kênh cảnh báo của các đơn vị chuyên môn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Apple tung bản vá khẩn cấp cho iPhone

Apple ra bản iOS 14.8 để vá lỗi nguy hiểm cho phép truy cập trái phép vào micro, camera, phần mềm... và khuyến cáo người dùng cập nhật càng sớm càng tốt.

Lỗ hổng do các nhà nghiên cứu an ninh mạng Citizen Lab phát hiện thuộc loại "zero click", có thể xâm nhập vào iPhone mà không cần người dùng thao tác gì. Lỗ hổng có thể bị khai thác thông qua phần mềm gián điệp Pegasus do công ty NSO Group (Israel) phát triển.

Pegasus đã lợi dụng một lỗi trong hệ thống CoreGraphics của hệ điều hành của Apple, được kích hoạt nếu người dùng nhận một tin nhắn đính kèm tệp chứa mã độc. Tệp này được ngụy trang là một file ảnh *.gif, nhưng thực chất là file *.pdf và *.psd.

Apple khuyến cáo người dùng iPhone cập nhật bản iOS 14.8.

Mã có thể lây nhiễm trên iPhone và sang các thiết bị khác mà chủ sở hữu không hề hay biết. Nó có thể kiểm soát camera, micro thiết bị, cũng như thu thập nội dung tin nhắn, văn bản, email, cuộc gọi, sau đó gửi về máy chủ của NSO Group. Ngay cả tin nhắn mã hóa trên các ứng dụng như Signal cũng có thể bị chương trình độc hại này đánh cắp và giải mã.

Lỗ hổng được Citizen Lab phát hiện khi kiểm tra iPhone của một nhà hoạt động xã hội ở Arab Saudi đầu tháng 9 và thông báo cho Apple. Đội ngũ của Apple sau đó nhanh chóng khắc phục sự cố và đưa ra bản cập nhật iOS 14.8. Người dùng có thể vào Cài đặt> Chung> Cập nhật phần mềm để nâng cấp iPhone.

"Phần mềm gián điệp này có thể làm mọi thứ mà người dùng iPhone có thể làm trên thiết bị của họ và hơn thế nữa", John Scott-Railton, nhà nghiên cứu cấp cao tại Citizen Lab, nhấn mạnh. "Bạn cần cập nhật iPhone lập tức".

Bên cạnh iPhone, phần mềm của NSO Group cũng tồn tại trên Apple Watch và máy Mac. Apple khuyến cáo người dùng nên nâng cấp phiên bản mới nhất cho Watch là watchOS 7.6.2 và macOS Big Sur 11.6 để tránh nguy cơ lây nhiễm.

Theo New York Times , NSO Group từng bán phần mềm gián điệp của mình cho các chính phủ, nhưng nhấn mạnh họ "phải đáp ứng các tiêu chuẩn nhân quyền nhất định". Tuy nhiên, 6 năm qua, Pegasus đã xuất hiện trên điện thoại của nhiều nhà hoạt động, luật sư, bác sĩ, trẻ em, chuyên gia... ở các nước như UAE, Mexico và Arab Saudi. Tháng trước, Washington Post tiết lộ kết quả điều tra cho thấy, điện thoại của 37 nhà báo và nhà hoạt động nhân quyền đã nhiễm virus và phần mềm gián điệp của NSO Group.

Lỗ hổng bảo mật cho phép tin tặc xâm nhập vào hàng triệu thiết bị Log4Shell là một lỗ hổng vừa được tìm thấy trên nhiều hệ thống nhật ký ứng dụng, trong đó có cả iCloud, Steam và Minecraft. Theo nhiều chuyên gia, lỗ hổng bảo mật này nghiêm trọng tương đương WannaCry. Lỗ hổng bảo mật Log4Shell cho phép tin tặc xâm nhập vào hàng triệu thiết bị trên internet và thực thi mã độc. Cụ...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Chủ đề: apple microsoft an ninh mạng lỗ hổng bảo mật icloud macos bản vá lỗi log4shell bản vá log4shell tấn công thực thi mã từ xa

Xem thêm Share

Xem nhiều

Đoạn camera đau lòng đang được chia sẻ trên MXH: Người phụ nữ bị chồng đánh dã man, các con ôm mẹ gào khóc00:52

Phát ngôn về chuyện sao kê của mẹ bé Bắp làm dậy sóng MXH giữa lúc tắt tính năng bình luận01:09

"Lụt Từ Ngã Tư Đường Phố" lần đầu được cover sau 16 năm, "Táo Thoát nước" Tự Long sốc vì 1 chi tiết được giữ nguyên02:01

Công khai video trích xuất camera ghi lại cảnh tượng Á hậu Việt bị biến thái giở trò tấn công giữa nơi công cộng00:19

Bất bình khi xem clip ghi cảnh cụ bà bị 2 phụ nữ đánh, người vào can còn bị ngăn lại00:38

Điếng người trước cảnh tượng bóng trắng di chuyển trong salon tóc lúc 12h đêm02:08

Vụ dụ dỗ người dân tu tập mê tín: Một bị hại phải bán 3 căn nhà ở Hà Nội01:02

Căng: Sao nam Vbiz quỳ gối xin lỗi Trấn Thành, nguyên nhân vì 1 câu "vạ miệng" trên sóng truyền hình02:42

Tiktoker qua Singapore thăm mẹ con bé Bắp, khẳng định 1 điều khi thấy "bánh tráng nhúng nước cuốn cải ăn qua ngày"01:04

Clip em bé vùng cao ngủ quên trước cửa lớp "đốn tim" dân mạng01:33

Người đàn ông túm tóc, đạp túi bụi vào mặt nữ nhân viên bán thuốc: Clip diễn biến đầy phẫn nộ02:06

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn

Xiaomi sa thải hàng nghìn nhân sự

09:35:12 21/12/2022

Gã khổng lồ smartphone Trung Quốc Xiaomi đang lên kế hoạch sa thải 15% trong số hơn 30.000 nhân sự trong bối cảnh công ty gặp khó khăn

Apple sẽ bắt đầu sản xuất MacBook tại Việt Nam vào giữa năm 2023

09:34:00 21/12/2022

Đối với Trung Quốc, việc mất vị trí độc quyền sản xuất MacBook tượng trưng cho vị thế công xưởng thế giới của Trung Quốc đang bị suy yếu

Có thể bạn quan tâm

Nông Thúy Hằng: Mỹ nhân Tày gác danh hiệu hoa hậu, thi tiếp Miss Cosmo Vietnam

Sao việt

13:39:21 26/02/2025

Nông Thúy Hằng sinh ngày 24 tháng 7 năm 1999 tại Hà Giang, Việt Nam. Cô là người dân tộc Tày và lớn lên trong một gia đình có bố là cán bộ biên phòng và mẹ là cán bộ ngành điện của tỉnh Hà Giang.

1/3 nhân sự DOGE từ chức vì bất mãn, Elon Musk phản ứng

Thế giới

13:38:19 26/02/2025

Chúng tôi đã tuyên thệ phục vụ người dân Mỹ và giữ lời thề với Hiến pháp trong suốt các chính quyền tổng thống. Tuy nhiên, rõ ràng là chúng tôi không thể thực hiện những cam kết đó nữa , nội dung bức thư nêu rõ.