Nhà nghiên cứu Karlo Zanki (ReversingLabs) cho biết, trong bối cảnh ngày càng có nhiều sự cố tấn công vào các , việc đánh giá rủi ro bảo mật và giảm thiểu nguy cơ bị tấn công của các môđun bên thứ ba là vô cùng cấp thiết. Đối tượng trong nghiên cứu là các phiên bản khác nhau của 7Zip, WinSCP và PuTTYgen, những chương trình cung cấp chức năng mạng và nén phức tạp. Chúng liên tục được cập nhật để cải thiện chức năng và giải quyết các lỗ hổng bảo mật. Tuy nhiên, đôi khi xảy ra tình huống các chương trình được cập nhật nhưng vẫn sử dụng thành phần phụ thuộc là các phiên bản cũ có nhiều .
Trong một trường hợp, thư viện quản lý tệp máy chủ từ xa “WinSCPHelper” với hơn 35.000 lượt tải xuống, sử dụng phiên bản WinSCP 5.11.2 cũ vẫn tồn tại lỗ hổng.
Các nhà nghiên cứu đã chỉ ra rằng hơn 50.000 thành phần phần mềm trong các gói NuGet được liên kết tĩnh với phiên bản chưa được cập nhật của thư viện “zlib”, khiến chúng đứng trước thông qua một loạt lỗ hổng như CVE-2016-9840, CVE- 2016-9841, CVE-2016-9842 và CVE-2016-9843. Một số gói có lỗ hổng zlib là “DicomObjects” và “librdkafka.redist”, mỗi gói được tải xuống khoảng 18,2 triệu lần.
Đáng lưu ý, "librdkafka.redist “là một thành phần phụ thuộc cho một số gói phổ biến khác, bao gồm cả ứng dụng .NET của Confluent cho Apache Kafka (Confluent.Kafka) với hơn 17,6 triệu lượt tải.
Các công ty phát triển giải pháp phần mềm cần nhận thức rõ hơn về những rủi ro và tham gia nhiều hơn vào quá trình xử lý. Cả đầu vào và đầu ra cuối cùng của quá trình phát triển phần mềm đều cần được kiểm tra để phát hiện các vấn đề về chất lượng mã và tính xác thực. Phát triển phần mềm minh bạch là một trong những nền tảng cần thiết để phát hiện sớm và ngăn chặn các cuộc tấn công chuỗi cung ứng phần mềm.
M.H
15:00 | 31/05/2021
11:00 | 29/08/2021
07:00 | 06/08/2021
08:00 | 22/02/2021
08:00 | 22/02/2021
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
07:00 | 16/09/2024
Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.
09:00 | 29/10/2024