Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

www.tuoitre.vn -   24/01/2018 10:00:00 1830

Theo các nhà phát triển framework, hàng trăm phần mềm được phát triển trên nền tảng framework có tên là Electron có thể dễ bị tấn công bởi một lỗi thực thi từ xa. Được biết lỗi này có ảnh hưởng đến hàng chục ứng dụng đang phổ biến của Windows hiện nay, trong đó có Skype và Slack.

Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

Vào đầu tuần, nhóm Electron của GitHub đã phát hành hai phiên bản vá lỗi (1.8.2-beta.4, 1.7.11, and 1.6.16) đồng thời công bố giải pháp khắc phục lỗi này (CVE-2018-1000006). Trong lúc đó, các nhà cung cấp phần mềm bị ảnh hưởng như Skype và Slack cũng cho biết họ đã công bố bản cập nhật mới đế giải quyết tình trạng dễ bị tổn thương này.

Electron vốn là một nguồn framework node.js, V8,và Chromium mở khá phổ biến với các nhà phát triển phần mềm quan tâm đến việc sử dụng các công nghệ web như JavaScript, HTML và CSS để xây dựng các phần mềm dành cho máy tính để bàn. Tiền thân của framework này được gọi là Atom Shell, hiện đang được phát triển bởi GitHub.

Electron cho biết các phần mềm được thiết kế để chạy trên hệ điều hành Windows mà bản thân nó là trình xử lý mặc định cho một giao thức, như myapp:// rất dễ bị tổn thương. Những ứng dụng như vậy có thể bị ảnh hưởng bất kể giao thức được đăng ký như thế nào đi nữa.

Trong web của Electron đã liệt kê hơn 400 phần mềm được xây dựng trên nền tảng framework này. Tuy nhiên, vẫn chưa rõ có bao nhiêu phần mềm sử dụng trình xử lý giao thức mặc định của Electron để xác định liệu các ứng dụng có dễ bị tổn thương hay không. Hệ thống Open Whisper cuạng sử dụng framework của Electron, xác nhận với Threatpost rằng phần mềm nhắn tin bảo mật Signal không hề bị ảnh hưởng.

Trong khi framework tương thích với cả Mac, Linux và Windows, lỗ hổng này chỉ ảnh hưởng đến các ứng dụng của Windows.

Giám đốc cao cấp của Veracode, ông Tim Jarrett cho biết việc này có thể nghiêm trọng khi một số ứng dụng nhắn tin cao cấp bao gồm Skype và Slack đều đang sử dụng framework Electron.js. Mặc dù không biết liệu lỗ hổng này có tiếp xúc trực tiếp với phần mềm này hay không nhưng việc sử dụng Electron.js cũng sẽ làm tăng khả năng nó được khai thác rộng rãi để lây lan phần mềm độc hại. Ông cho biết thêm bản vá sẽ yêu cầu cập nhật tất cả các ứng dụng bị ảnh hưởng và buộc các nhà phát triển ứng dụng phải cập nhật bản vá mới nhất của Electron. Mặc dù đây là thách thức đối với các bên thứ ba, các nhà phát triển phần mềm cần phải hiểu rằng đang có một bản cập nhật và phải kết hợp bản cập nhật này trong phần mềm của họ.

Ông Derek Week, phó chủ tịch cũng là người ủng hộ DevOps tại Sonatype đã cho phép nhóm Electron tham gia đội ứng phó nhanh và cảnh báo công chúng về vấn đề này cũng như đưa ra các lựa chọn giảm nhẹ thiệt hại. Cùng với các bản vá được cung cấp bởi Electron, họ cũng đã cung cấp một bản sửa chữa. Do đó các nhà phát triển phần mềm cũng đang bắt tay vào sửa lỗi này. Người dùng hãy cập nhật các phiên bản mới nhất của ứng dụng để bảo đảm an toàn cho bản thân.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ những lỗ hổng bảo mật ...

23/09/2022 08:00:00 103
Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việ...

Cách xem mật khẩu Wi-Fi của bạn trong iO...

19/09/2022 08:00:00 42
Quên mật khẩu cho một trong các mạng Wi-Fi của bạn? Hãy để Kaspersky chỉ cho bạn cách tìm lại mật kh...

Cách phục hồi tin nhắn đã xoá trên iPhon...

16/09/2022 08:00:00 40
Trong bài viết này, Kaspersky sẽ hướng dẫn bạn cách phục hồi tin nhắn đã xoá trên iPhone của bạn.

64 lỗ hổng bảo mật mới đã được Microsoft...

15/09/2022 08:00:00 36
Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mớ...

Apple phát hành bản cập nhật iOS và macO...

14/09/2022 08:00:00 29
Apple đã phát hành một đợt cập nhật bảo mật khác để giải quyết nhiều lỗ hổng trong iOS và macOS, bao...

Khu vực APAC chiếm 24% số email độc hại ...

13/09/2022 08:00:00 69
Kể từ khi được gửi đi lần đầu tiên năm 1978, đến nay thư rác tăng lên không chỉ về số lượng, mà còn ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ