Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

www.tuoitre.vn -   24/01/2018 10:00:00 2394

Theo các nhà phát triển framework, hàng trăm phần mềm được phát triển trên nền tảng framework có tên là Electron có thể dễ bị tấn công bởi một lỗi thực thi từ xa. Được biết lỗi này có ảnh hưởng đến hàng chục ứng dụng đang phổ biến của Windows hiện nay, trong đó có Skype và Slack.

Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

Vào đầu tuần, nhóm Electron của GitHub đã phát hành hai phiên bản vá lỗi (1.8.2-beta.4, 1.7.11, and 1.6.16) đồng thời công bố giải pháp khắc phục lỗi này (CVE-2018-1000006). Trong lúc đó, các nhà cung cấp phần mềm bị ảnh hưởng như Skype và Slack cũng cho biết họ đã công bố bản cập nhật mới đế giải quyết tình trạng dễ bị tổn thương này.

Electron vốn là một nguồn framework node.js, V8,và Chromium mở khá phổ biến với các nhà phát triển phần mềm quan tâm đến việc sử dụng các công nghệ web như JavaScript, HTML và CSS để xây dựng các phần mềm dành cho máy tính để bàn. Tiền thân của framework này được gọi là Atom Shell, hiện đang được phát triển bởi GitHub.

Electron cho biết các phần mềm được thiết kế để chạy trên hệ điều hành Windows mà bản thân nó là trình xử lý mặc định cho một giao thức, như myapp:// rất dễ bị tổn thương. Những ứng dụng như vậy có thể bị ảnh hưởng bất kể giao thức được đăng ký như thế nào đi nữa.

Trong web của Electron đã liệt kê hơn 400 phần mềm được xây dựng trên nền tảng framework này. Tuy nhiên, vẫn chưa rõ có bao nhiêu phần mềm sử dụng trình xử lý giao thức mặc định của Electron để xác định liệu các ứng dụng có dễ bị tổn thương hay không. Hệ thống Open Whisper cuạng sử dụng framework của Electron, xác nhận với Threatpost rằng phần mềm nhắn tin bảo mật Signal không hề bị ảnh hưởng.

Trong khi framework tương thích với cả Mac, Linux và Windows, lỗ hổng này chỉ ảnh hưởng đến các ứng dụng của Windows.

Giám đốc cao cấp của Veracode, ông Tim Jarrett cho biết việc này có thể nghiêm trọng khi một số ứng dụng nhắn tin cao cấp bao gồm Skype và Slack đều đang sử dụng framework Electron.js. Mặc dù không biết liệu lỗ hổng này có tiếp xúc trực tiếp với phần mềm này hay không nhưng việc sử dụng Electron.js cũng sẽ làm tăng khả năng nó được khai thác rộng rãi để lây lan phần mềm độc hại. Ông cho biết thêm bản vá sẽ yêu cầu cập nhật tất cả các ứng dụng bị ảnh hưởng và buộc các nhà phát triển ứng dụng phải cập nhật bản vá mới nhất của Electron. Mặc dù đây là thách thức đối với các bên thứ ba, các nhà phát triển phần mềm cần phải hiểu rằng đang có một bản cập nhật và phải kết hợp bản cập nhật này trong phần mềm của họ.

Ông Derek Week, phó chủ tịch cũng là người ủng hộ DevOps tại Sonatype đã cho phép nhóm Electron tham gia đội ứng phó nhanh và cảnh báo công chúng về vấn đề này cũng như đưa ra các lựa chọn giảm nhẹ thiệt hại. Cùng với các bản vá được cung cấp bởi Electron, họ cũng đã cung cấp một bản sửa chữa. Do đó các nhà phát triển phần mềm cũng đang bắt tay vào sửa lỗi này. Người dùng hãy cập nhật các phiên bản mới nhất của ứng dụng để bảo đảm an toàn cho bản thân.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 95
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 87
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 370
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 37
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 32
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 208
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button