FRAMEWORK ELECTRON DÍNH LỖ HỔNG NGHIÊM TRỌNG, SKYPE, SLACK, TWITCH VÀ HÀNG LOẠT APP BỊ ẢNH HƯỞNG

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện nằm trong bộ khung phát triển (framework) của một loạt các ứng dụng desktop phổ biến như Skype, Slack, Signal, Twitch … và điều đáng chú ý là lỗ hổng này chỉ tác động lên Windows. Microsoft đã cập nhật Windows Defender để bảo vệ người dùng trước nguy cơ tấn công thông qua lỗ hổng này trong khi nhà phát triển các ứng dụng bị ảnh hưởng đang chuẩn bị cập nhật phiên bản mới để vá lỗi.

Đây là một lỗ hổng của Electron - framework được các nhà phát triển sử dụng để tạo ra các ứng dụng đa nền tảng dựa trên công nghệ web như JavaScript, HTML và CSS. Electron được phát hành vào năm 2013 và trở nên cực kỳ phổ biến với rất nhiều ứng dụng khai thác như Skype, Visual Studio Code, trình duyệt Brave, Basecamp, GitHub, Ghost, Signal, Slack, Twitch, WordPress …

Tuy nhiên, lỗ hổng này nguy hiểm hay không lại tùy thuộc vào cách nhà phát triển sử dụng giao thức của Electron. Kiểm tra theo mã định danh CVE-2018-1000006 trên cơ sở dữ liệu lỗ hổng bảo mật NVD của Mỹ thì đây là một lỗ hổng cho phép kẻ tấn công thực thi mã độc từ xa và nó tác động lên tất cả các ứng dụng dùng framework Electron với bộ xử lý giao thức tùy biến. Có thể hiểu nếu một ứng dụng trên Windows có khả năng tự đảm nhận xử lý một giao thức nào đó theo mặc định với cú pháp như myapp:// thì đều bị tác động bởi lỗ hổng nói trên. Từ đó kẻ tấn công có thể tiêm và triển khai mã độc từ xa, đánh cắp dữ liệu người dùng..

Nguồn : Tinhte

Cung cấp hàng sỉ từ Mỹ: http://www.onncom.com


Comments

mới ra cái flatpak chuyên tải các app dùng framework này, may chưa dùng :D
Thôi kệ cha nó . Mới update vụ của lntel vừa rồi máy giật vãi đái . Thêm vụ này nữa chắc chết .
Đắng quá :D Hơi bị nhiều app nổi đang xài Electron làm framework đó
Căng cho đội Microsoft
Đầu năm mà vấn đề bảo mật đã đáng lo ngại tới mức này rồi
New post