Phát hiện lỗ hổng bảo mật nghiêm trọng trên 13 ứng dụng phổ biến

Apple và The Citizen Lab vừa phát hiện ra một lỗ hổng bảo mật nghiêm trọng, ảnh hưởng đến hàng loạt ứng dụng phổ biến và hàng triệu người dùng Internet.

Lỗ hổng bảo mật được phát hiện có tên mã CVE-2023-4863 liên quan đến tràn bộ đệm heap trong WebP do các chương trình, ứng dụng không quản lý tốt bộ nhớ và cho phép ghi đè dữ liệu hệ thống quan trọng.

Nếu tin tặc khai thác thành công lỗ hổng có thể chiếm quyền kiểm soát hệ thống từ xa, khởi động các cuộc tấn công quy mô lớn hơn.

Đây là một lỗ hổng lớn bởi trên thực tế, mọi chương trình phần mềm hoặc ứng dụng sử dụng libwebp để hiển thị hình ảnh WebP đều tồn tại sự cố.

Lỗ hổng ảnh hưởng đến hàng loạt ứng dụng phổ biến và các phần mềm OTT như Google Chrome, Mozilla Firefox, Microsoft Edge, Affinity, Gimp, Inkscape, LibreOffice, Thunderbird, ffmpeg, Honeyview, Telegram, Signal và 1Password.

Ngoài ra, sự tồn tại của lỗ hổng WebP còn tồn tại trên rất nhiều ứng dụng Android cũng như các ứng dụng đa nền tảng được xây dựng bằng Flutter.

Google đã xác nhận sự tồn tại của lỗ hổng WebP và đã phát hành khẩn cấp bản cập nhật Google Chrome 116 để vá.

Các chuyên gia khuyến nghị, người dùng nếu đang sử dụng bất kỳ ứng dụng nào được đề cập trong bài viết này, nên cập nhật phần mềm lên phiên bản mới nhất ngay lập tức để giữ cho thiết bị của bạn an toàn hơn.

Nhóm Kiến trúc và Kỹ thuật Bảo mật của Apple (SEAR) đã phát hiện và báo cáo lỗ hổng WebP khi cộng tác với The Citizen Lab vào ngày 6 tháng 9 năm 2023.

Theo The Citizen Lab