Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

www.tuoitre.vn -   24/01/2018 10:00:00 2301

Theo các nhà phát triển framework, hàng trăm phần mềm được phát triển trên nền tảng framework có tên là Electron có thể dễ bị tấn công bởi một lỗi thực thi từ xa. Được biết lỗi này có ảnh hưởng đến hàng chục ứng dụng đang phổ biến của Windows hiện nay, trong đó có Skype và Slack.

Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng

Vào đầu tuần, nhóm Electron của GitHub đã phát hành hai phiên bản vá lỗi (1.8.2-beta.4, 1.7.11, and 1.6.16) đồng thời công bố giải pháp khắc phục lỗi này (CVE-2018-1000006). Trong lúc đó, các nhà cung cấp phần mềm bị ảnh hưởng như Skype và Slack cũng cho biết họ đã công bố bản cập nhật mới đế giải quyết tình trạng dễ bị tổn thương này.

Electron vốn là một nguồn framework node.js, V8,và Chromium mở khá phổ biến với các nhà phát triển phần mềm quan tâm đến việc sử dụng các công nghệ web như JavaScript, HTML và CSS để xây dựng các phần mềm dành cho máy tính để bàn. Tiền thân của framework này được gọi là Atom Shell, hiện đang được phát triển bởi GitHub.

Electron cho biết các phần mềm được thiết kế để chạy trên hệ điều hành Windows mà bản thân nó là trình xử lý mặc định cho một giao thức, như myapp:// rất dễ bị tổn thương. Những ứng dụng như vậy có thể bị ảnh hưởng bất kể giao thức được đăng ký như thế nào đi nữa.

Trong web của Electron đã liệt kê hơn 400 phần mềm được xây dựng trên nền tảng framework này. Tuy nhiên, vẫn chưa rõ có bao nhiêu phần mềm sử dụng trình xử lý giao thức mặc định của Electron để xác định liệu các ứng dụng có dễ bị tổn thương hay không. Hệ thống Open Whisper cuạng sử dụng framework của Electron, xác nhận với Threatpost rằng phần mềm nhắn tin bảo mật Signal không hề bị ảnh hưởng.

Trong khi framework tương thích với cả Mac, Linux và Windows, lỗ hổng này chỉ ảnh hưởng đến các ứng dụng của Windows.

Giám đốc cao cấp của Veracode, ông Tim Jarrett cho biết việc này có thể nghiêm trọng khi một số ứng dụng nhắn tin cao cấp bao gồm Skype và Slack đều đang sử dụng framework Electron.js. Mặc dù không biết liệu lỗ hổng này có tiếp xúc trực tiếp với phần mềm này hay không nhưng việc sử dụng Electron.js cũng sẽ làm tăng khả năng nó được khai thác rộng rãi để lây lan phần mềm độc hại. Ông cho biết thêm bản vá sẽ yêu cầu cập nhật tất cả các ứng dụng bị ảnh hưởng và buộc các nhà phát triển ứng dụng phải cập nhật bản vá mới nhất của Electron. Mặc dù đây là thách thức đối với các bên thứ ba, các nhà phát triển phần mềm cần phải hiểu rằng đang có một bản cập nhật và phải kết hợp bản cập nhật này trong phần mềm của họ.

Ông Derek Week, phó chủ tịch cũng là người ủng hộ DevOps tại Sonatype đã cho phép nhóm Electron tham gia đội ứng phó nhanh và cảnh báo công chúng về vấn đề này cũng như đưa ra các lựa chọn giảm nhẹ thiệt hại. Cùng với các bản vá được cung cấp bởi Electron, họ cũng đã cung cấp một bản sửa chữa. Do đó các nhà phát triển phần mềm cũng đang bắt tay vào sửa lỗi này. Người dùng hãy cập nhật các phiên bản mới nhất của ứng dụng để bảo đảm an toàn cho bản thân.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 443
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 925
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 858
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 71
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 723
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 74
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ