Nhiều phần mềm phổ biến trên Windows dễ bị tổn thương bởi lỗ hổng Framework nghiêm trọng
Theo các nhà phát triển framework, hàng trăm phần mềm được phát triển trên nền tảng framework có tên là Electron có thể dễ bị tấn công bởi một lỗi thực thi từ xa. Được biết lỗi này có ảnh hưởng đến hàng chục ứng dụng đang phổ biến của Windows hiện nay, trong đó có Skype và Slack.
Vào đầu tuần, nhóm Electron của GitHub đã phát hành hai phiên bản vá lỗi (1.8.2-beta.4, 1.7.11, and 1.6.16) đồng thời công bố giải pháp khắc phục lỗi này (CVE-2018-1000006). Trong lúc đó, các nhà cung cấp phần mềm bị ảnh hưởng như Skype và Slack cũng cho biết họ đã công bố bản cập nhật mới đế giải quyết tình trạng dễ bị tổn thương này.
Electron vốn là một nguồn framework node.js, V8,và Chromium mở khá phổ biến với các nhà phát triển phần mềm quan tâm đến việc sử dụng các công nghệ web như JavaScript, HTML và CSS để xây dựng các phần mềm dành cho máy tính để bàn. Tiền thân của framework này được gọi là Atom Shell, hiện đang được phát triển bởi GitHub.
Electron cho biết các phần mềm được thiết kế để chạy trên hệ điều hành Windows mà bản thân nó là trình xử lý mặc định cho một giao thức, như myapp:// rất dễ bị tổn thương. Những ứng dụng như vậy có thể bị ảnh hưởng bất kể giao thức được đăng ký như thế nào đi nữa.
Trong web của Electron đã liệt kê hơn 400 phần mềm được xây dựng trên nền tảng framework này. Tuy nhiên, vẫn chưa rõ có bao nhiêu phần mềm sử dụng trình xử lý giao thức mặc định của Electron để xác định liệu các ứng dụng có dễ bị tổn thương hay không. Hệ thống Open Whisper cuạng sử dụng framework của Electron, xác nhận với Threatpost rằng phần mềm nhắn tin bảo mật Signal không hề bị ảnh hưởng.
Trong khi framework tương thích với cả Mac, Linux và Windows, lỗ hổng này chỉ ảnh hưởng đến các ứng dụng của Windows.
Giám đốc cao cấp của Veracode, ông Tim Jarrett cho biết việc này có thể nghiêm trọng khi một số ứng dụng nhắn tin cao cấp bao gồm Skype và Slack đều đang sử dụng framework Electron.js. Mặc dù không biết liệu lỗ hổng này có tiếp xúc trực tiếp với phần mềm này hay không nhưng việc sử dụng Electron.js cũng sẽ làm tăng khả năng nó được khai thác rộng rãi để lây lan phần mềm độc hại. Ông cho biết thêm bản vá sẽ yêu cầu cập nhật tất cả các ứng dụng bị ảnh hưởng và buộc các nhà phát triển ứng dụng phải cập nhật bản vá mới nhất của Electron. Mặc dù đây là thách thức đối với các bên thứ ba, các nhà phát triển phần mềm cần phải hiểu rằng đang có một bản cập nhật và phải kết hợp bản cập nhật này trong phần mềm của họ.
Ông Derek Week, phó chủ tịch cũng là người ủng hộ DevOps tại Sonatype đã cho phép nhóm Electron tham gia đội ứng phó nhanh và cảnh báo công chúng về vấn đề này cũng như đưa ra các lựa chọn giảm nhẹ thiệt hại. Cùng với các bản vá được cung cấp bởi Electron, họ cũng đã cung cấp một bản sửa chữa. Do đó các nhà phát triển phần mềm cũng đang bắt tay vào sửa lỗi này. Người dùng hãy cập nhật các phiên bản mới nhất của ứng dụng để bảo đảm an toàn cho bản thân.
Xuân Dung
TIN CÙNG CHUYÊN MỤC
Khi tiện ích mở rộng tốt trở nên tệ hại:...
Hàng chục tiện ích mở rộng của Chrome bị...
Apple bồi thường 95 triệu USD vì Siri ng...
Hơn 15.000 Bộ định tuyến Four-Faith bị k...
Bạn nghĩ sao nếu người dùng ảo là chatbo...
Các cuộc tấn công mạng “bẻ khóa” thông t...
- Cuối Tuần Vui Vẻ, Giá Rẻ Bất Ngờ
- Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025
- Khi tiện ích mở rộng tốt trở nên tệ hại: Những điể...
- Khi tiện ích mở rộng tốt trở nên tệ hại: Làm thế n...
- Lý do dùng AI chỉnh ảnh được yêu thích hơn cách th...
- Hàng chục tiện ích mở rộng của Chrome bị hack, khi...