Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

www.tuoitre.vn -   24/01/2018 10:00:00 2246

Theo các nhà phát triển framework, hàng trăm phần mềm được phát triển trên nền tảng framework có tên là Electron có thể dễ bị tấn công bởi một lỗi thực thi từ xa. Được biết lỗi này có ảnh hưởng đến hàng chục ứng dụng đang phổ biến của Windows hiện nay, trong đó có Skype và Slack.

Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

Vào đầu tuần, nhóm Electron của GitHub đã phát hành hai phiên bản vá lỗi (1.8.2-beta.4, 1.7.11, and 1.6.16) đồng thời công bố giải pháp khắc phục lỗi này (CVE-2018-1000006). Trong lúc đó, các nhà cung cấp phần mềm bị ảnh hưởng như Skype và Slack cũng cho biết họ đã công bố bản cập nhật mới đế giải quyết tình trạng dễ bị tổn thương này.

Electron vốn là một nguồn framework node.js, V8,và Chromium mở khá phổ biến với các nhà phát triển phần mềm quan tâm đến việc sử dụng các công nghệ web như JavaScript, HTML và CSS để xây dựng các phần mềm dành cho máy tính để bàn. Tiền thân của framework này được gọi là Atom Shell, hiện đang được phát triển bởi GitHub.

Electron cho biết các phần mềm được thiết kế để chạy trên hệ điều hành Windows mà bản thân nó là trình xử lý mặc định cho một giao thức, như myapp:// rất dễ bị tổn thương. Những ứng dụng như vậy có thể bị ảnh hưởng bất kể giao thức được đăng ký như thế nào đi nữa.

Trong web của Electron đã liệt kê hơn 400 phần mềm được xây dựng trên nền tảng framework này. Tuy nhiên, vẫn chưa rõ có bao nhiêu phần mềm sử dụng trình xử lý giao thức mặc định của Electron để xác định liệu các ứng dụng có dễ bị tổn thương hay không. Hệ thống Open Whisper cuạng sử dụng framework của Electron, xác nhận với Threatpost rằng phần mềm nhắn tin bảo mật Signal không hề bị ảnh hưởng.

Trong khi framework tương thích với cả Mac, Linux và Windows, lỗ hổng này chỉ ảnh hưởng đến các ứng dụng của Windows.

Giám đốc cao cấp của Veracode, ông Tim Jarrett cho biết việc này có thể nghiêm trọng khi một số ứng dụng nhắn tin cao cấp bao gồm Skype và Slack đều đang sử dụng framework Electron.js. Mặc dù không biết liệu lỗ hổng này có tiếp xúc trực tiếp với phần mềm này hay không nhưng việc sử dụng Electron.js cũng sẽ làm tăng khả năng nó được khai thác rộng rãi để lây lan phần mềm độc hại. Ông cho biết thêm bản vá sẽ yêu cầu cập nhật tất cả các ứng dụng bị ảnh hưởng và buộc các nhà phát triển ứng dụng phải cập nhật bản vá mới nhất của Electron. Mặc dù đây là thách thức đối với các bên thứ ba, các nhà phát triển phần mềm cần phải hiểu rằng đang có một bản cập nhật và phải kết hợp bản cập nhật này trong phần mềm của họ.

Ông Derek Week, phó chủ tịch cũng là người ủng hộ DevOps tại Sonatype đã cho phép nhóm Electron tham gia đội ứng phó nhanh và cảnh báo công chúng về vấn đề này cũng như đưa ra các lựa chọn giảm nhẹ thiệt hại. Cùng với các bản vá được cung cấp bởi Electron, họ cũng đã cung cấp một bản sửa chữa. Do đó các nhà phát triển phần mềm cũng đang bắt tay vào sửa lỗi này. Người dùng hãy cập nhật các phiên bản mới nhất của ứng dụng để bảo đảm an toàn cho bản thân.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 140
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 267
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 272
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 193
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 269
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 232
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ