Cảnh báo lỗ hổng bảo mật nghiêm trọng trên Google Chrome
Phạm Vinh
15/12/2021, 07:57
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông vừa cảnh báo các cơ quan, tổ chức về lỗ hổng bảo mật nghiêm trọng có mã CVE-2021-4102 trong Google Chrome...
Lỗ hổng bảo mật nghiêm trọng đang bị khai thác trên Google Chrome.
Trong cảnh báo, chuyên gia NCSC cho biết, lỗ hổng CVE-2021-4102 tồn tại trong công cụ JavaScript của Chrome v8, cho phép đối tượng tấn công thực thi mã tùy ý. Mặc dù chưa có thông tin chi tiết về cách thức khai thác lỗ hổng này, tuy nhiên lỗ hổng này được cho là đang được khai thác trong thực tế.
Ngày 13/12, Google đã phát hành bản vá cho lỗ hổng bảo mật CVE-2021-4102 có mức ảnh hưởng nghiêm trọng tại phiên bản Chrome 96.0.4664.110 cho hệ điều hành Windows, Mac và Linux. Trung tâm NCSC khuyến nghị các cơ quan, tổ chức cần cập nhật bản vá trong thời gian sớm để tránh nguy cơ mất an toàn thông tin.
Trước đó ngày 9/12 vừa qua, mã khai thác của lỗ hổng tồn tại trong Apache Log4j đã được công khai rộng rãi trên Internet. Lỗ hổng này ảnh hưởng đến Apache Log4j phiên bản từ 2.0 đến 2.14.1, cho phép đối tượng tấn công thực thi mã từ xa.
Lỗ hổng bảo mật nghiêm trọng đang bị khai thác Apache Log4j
Apache Log4j là một thư viện ghi log trong Java, tồn tại trong nhiều ứng dụng hiện nay được sử dụng phổ biến trong các hệ thống thông tin của cơ quan, tổ chức và doanh nghiệp lớn.
Theo đánh giá của Trung tâm Giám sát an toàn không gian mạng quốc gia, lỗ hổng này khá nghiêm trọng và có mức độ ảnh hưởng lớn.
"Lỗ hổng CVE-2021-4102 tồn tại trong công cụ JavaScript của Chrome v8, cho phép đối tượng tấn công thực thi mã tùy ý. Mặc dù chưa có thông tin chi tiết về cách thức khai thác lỗ hổng này, tuy nhiên lỗ hổng này được cho là đang được khai thác trong thực tế."
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC).
Cục An toàn thông tin khuyến nghị các đơn vị, tổ chức doanh nghiệp thực hiện: Kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng Apache Log4j; Cập nhật lên phiên bản mới nhất (log4j-2.15.0-rc2) để khắc phục lỗ hổng bảo mật nói trên cũng như các lỗ hổng bảo mật mới phát hiện khác; đồng thời nâng cấp các ứng dụng và thành phần liên quan có khả năng bị ảnh hưởng (ví dụ như srping-boot-strater-log4j2, Apache Solr, Apache Flink, Apache 2 Druid,…).
Ngoài ra, các cơ quan, tổ chức, doanh nghiệp cần tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.
Theo Công ty bảo mật Checkpoint, Log4j là thư viện ghi log Java phổ biến nhất thế giới với hơn 400.000 lượt tải xuống từ GitHub. Sản phẩm này được nhiều công ty trên thế giới sử dụng, như Twitter, Amazon, Microsoft, Apple. Việc khai thác lỗ hổng rất đơn giản, cho phép kẻ tấn công kiểm soát các máy chủ web dựa trên Java, từ đó thực thi mã từ xa.
Checkpoint cũng cũng ghi nhận nhiều trường hợp khai thác lỗ hổng Log4Shell để tấn công và mục tiêu là tiền điện tử của các nạn nhân.
Được biết, kể từ khi được công bố lỗ hổng Apache Log4j, có khoảng 40% hệ thống mạng của các công ty trên toàn cầu bị tin tặc nhắm đến để khai thác lỗ hổng nói trên. Mỗi phút có hơn 100 cuộc tấn công được ghi nhận.
Theo số liệu của Cục An toàn thông tin, trong 11 tháng đầu năm nay, hệ thống kỹ thuật của Cục đã ghi nhận 8.475 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng 32,13% so với cùng kỳ 11 tháng đầu năm 2020. Trong gần 8.500 sự cố tấn công mạng này, có 1.789 cuộc tấn công lừa đảo (phishing), 1.405 cuộc tấn công thay đổi giao diện (deface) và 5.281 cuộc tấn công cài mã độc (malware).
Trong đó có các sự cố mất an toàn thông tin, những thủ đoạn các trang web, fanpage giả mạo đường link và loại hình tin nhắn lừa đảo vẫn thường xuyên tái diễn. Cục An toàn thông tin khuyến cáo người dân không nên tin bất kỳ tin nhắn nào được gửi đến nếu tên hiển thị của người gửi không rõ ràng; đặc biệt yêu cầu đăng nhập tài khoản ngân hàng và cung cấp mã OTP...
Lại bùng phát lừa đảo, giả mạo Quỹ bảo hiểm thất nghiệp
09:09, 08/12/2021
Cảnh báo các lỗ hổng bảo mật nghiêm trọng trong Microsoft
14:19, 12/11/2021
Tìm kiếm lỗ hổng bảo mật Bug Bounty và giải thưởng 1 tỷ đồng
Hình thành các khu công nghệ số tập trung để chuyển giao và sản xuất kinh doanh công nghệ
Hơn 10 năm thực thi Nghị định số 154/2013/NĐ-CP, nhiều khu công nghệ thông tin tập trung đã được hình thành góp phần thúc đẩy phát triển ngành công nghiệp công nghệ số tại Việt Nam, tuy nhiên, nhiều quy định đã không còn phù hợp với pháp luật hiện hành...
Chi tiêu hạ tầng đám mây toàn cầu vượt 95 tỷ USD trong quý 2/2025
Ba nhà cung cấp lớn nhất là AWS, Microsoft Azure và Google Cloud tiếp tục giữ vững vị trí dẫn đầu, chiếm 65% tổng chi tiêu toàn cầu. Riêng doanh thu từ ba “ông lớn” này tăng 27% so với cùng kỳ năm ngoái...
Hơn 10.000 công ty công nghệ hiện diện tại Thái Nguyên
Trong lĩnh vực công nghệ, Thái Nguyên hiện có hơn 10.000 doanh nghiệp, trong đó 227 doanh nghiệp có vốn đầu tư trực tiếp nước ngoài. Thái Nguyên đang hoàn thiện thủ tục thành lập Khu công nghệ thông tin tập trung Yên Bình và Trung tâm dữ liệu, hướng tới thu hút các ngành công nghiệp bán dẫn, UAV và công nghệ cao…
Đà Nẵng đề xuất hợp tác công nghệ chip với bang Oregon (Mỹ)
Lãnh đạo thành phố Đà Nẵng đề xuất bang Oregon (Mỹ) cùng thành phố xem xét khả năng hai bên tập trung vào các lĩnh vực ưu tiên như công nghệ chip, logistics và phát triển cơ sở hạ tầng khu thương mại tự do (FTZ)...
Tốc độ mạng băng rộng cố định tăng tháng thứ sáu liên tiếp
Từ tháng 3 đến nay, chất lượng mạng băng rộng cố định được đo lường trên toàn quốc liên tục giữ nhịp tăng...
Sáu giải pháp phát triển nhanh và bền vững ngành năng lượng
Việt Nam đang đứng trước cơ hội lớn để phát triển năng lượng xanh, sạch nhằm đảm bảo an ninh năng lượng và phát triển bền vững. Ông Nguyễn Ngọc Trung chia sẻ với Tạp chí Kinh tế Việt Nam/VnEconomy về sáu giải pháp để phát triển nhanh và bền vững ngành năng lượng nói chung và các nguồn năng lượng tái tạo, năng lượng mới nói riêng…
Nhân lực là “chìa khóa” phát triển điện hạt nhân thành công và hiệu quả
Trao đổi với Tạp chí Kinh tế Việt Nam/VnEconomy, TS. Trần Chí Thành, Viện trưởng Viện Năng lượng nguyên tử Việt Nam, nhấn mạnh vấn đề quan trọng nhất khi phát triển điện hạt nhân ở Việt Nam là nguồn nhân lực, xây dựng năng lực, đào tạo nhân lực giỏi để tham gia vào triển khai, vận hành dự án...
Phát triển năng lượng tái tạo, xanh, sạch: Nền tảng cho tăng trưởng kinh tế trong dài hạn
Quốc hội đã chốt chỉ tiêu tăng trưởng kinh tế 8% cho năm 2025 và tăng trưởng hai chữ số cho giai đoạn 2026 – 2030. Để đạt được mục tiêu này, một trong những nguồn lực có tính nền tảng và huyết mạch chính là điện năng và các nguồn năng lượng xanh, sạch…
Nhà đầu tư điện gió ngoài khơi tại Việt Nam vẫn đang ‘mò mẫm trong bóng tối’
Trả lời VnEconomy bên lề Diễn đàn năng lượng xanh Việt Nam 2025, đại diện doanh nghiệp đầu tư năng lượng tái tạo nhận định rằng Chính phủ cần nhanh chóng ban hành các thủ tục và quy trình pháp lý nếu muốn nhà đầu tư nước ngoài rót vốn vào các dự án điện gió ngoài khơi của Việt Nam...
Tìm lộ trình hợp lý nhất cho năng lượng xanh tại Việt Nam
Chiều 31/3, tại Hà Nội, Hội Khoa học Kinh tế Việt Nam, Hiệp hội Năng lượng sạch Việt Nam chủ trì, phối hợp với Tạp chí Kinh tế Việt Nam tổ chức Diễn đàn Năng lượng Việt Nam 2025 với chủ đề: “Năng lượng xanh, sạch kiến tạo kỷ nguyên kinh tế mới - Giải pháp thúc đẩy phát triển nhanh các nguồn năng lượng mới”...
Thuế đối ứng của Mỹ có ảnh hướng thế nào đến chứng khoán?
Chính sách thuế quan mới của Mỹ, đặc biệt với mức thuế đối ứng 20% áp dụng từ ngày 7/8/2025 (giảm từ 46% sau đàm phán),
có tác động đáng kể đến kinh tế Việt Nam do sự phụ thuộc lớn vào xuất khẩu sang Mỹ (chiếm ~30% kim ngạch xuất khẩu).
Dưới đây là phân tích ngắn gọn về các ảnh hưởng chính: