Tham dự Tech Lounge

Tham dự Tech Lounge


Framework Electron dính lỗ hổng nghiêm trọng, Skype, Slack, Twitch và hàng loạt app bị ảnh hưởng

bk9sw
25/1/2018 3:44Phản hồi: 23
Framework Electron dính lỗ hổng nghiêm trọng, Skype, Slack, Twitch và hàng loạt app bị ảnh hưởng
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện nằm trong bộ khung phát triển (framework) của một loạt các ứng dụng desktop phổ biến như Skype, Slack, Signal, Twitch … và điều đáng chú ý là lỗ hổng này chỉ tác động lên Windows. Microsoft đã cập nhật Windows Defender để bảo vệ người dùng trước nguy cơ tấn công thông qua lỗ hổng này trong khi nhà phát triển các ứng dụng bị ảnh hưởng đang chuẩn bị cập nhật phiên bản mới để vá lỗi.

Đây là một lỗ hổng của Electron - framework được các nhà phát triển sử dụng để tạo ra các ứng dụng đa nền tảng dựa trên công nghệ web như JavaScript, HTML và CSS. Electron được phát hành vào năm 2013 và trở nên cực kỳ phổ biến với rất nhiều ứng dụng khai thác như Skype, Visual Studio Code, trình duyệt Brave, Basecamp, GitHub, Ghost, Signal, Slack, Twitch, WordPress …

Tuy nhiên, lỗ hổng này nguy hiểm hay không lại tùy thuộc vào cách nhà phát triển sử dụng giao thức của Electron. Kiểm tra theo mã định danh CVE-2018-1000006 trên cơ sở dữ liệu lỗ hổng bảo mật NVD của Mỹ thì đây là một lỗ hổng cho phép kẻ tấn công thực thi mã độc từ xa và nó tác động lên tất cả các ứng dụng dùng framework Electron với bộ xử lý giao thức tùy biến. Có thể hiểu nếu một ứng dụng trên Windows có khả năng tự đảm nhận xử lý một giao thức nào đó theo mặc định với cú pháp như myapp:// thì đều bị tác động bởi lỗ hổng nói trên. Từ đó kẻ tấn công có thể tiêm và triển khai mã độc từ xa, đánh cắp dữ liệu người dùng.

Đội ngũ phát triển Electron cho biết lỗ hổng xử lý giao thức đã được vá trên phiên bản Electron 1.8.2-beta.4, 1.7.11 và 1.6.16 và trong trường hợp nhà phát triển chưa thể cập nhật ứng dụng ngay thì có thể xử lý tạm thời theo hướng dẫn tại đây. Nhiều nhà phát triển đã bắt đầu cập nhật bản vá bảo mật cho ứng dụng của mình, chẳng hạn như Skype đã vá lỗ hổng này trong phiên bản mới nhất, anh em lưu ý cập nhật ứng dụng nhé.

Theo: WccfTech
23 bình luận
Chia sẻ

Xu hướng

Thôi kệ cha nó . Mới update vụ của lntel vừa rồi máy giật vãi đái . Thêm vụ này nữa chắc chết .
zutowa
TÍCH CỰC
6 năm
@minhthuvc giật lắm hả, đang tính ráp máy
Đắng quá 😁 Hơi bị nhiều app nổi đang xài Electron làm framework đó
mummyHND
ĐẠI BÀNG
6 năm
phát hiện thì tốt, sợ nhất mấy thằng im im đ*t thúi 😁
mới ra cái flatpak chuyên tải các app dùng framework này, may chưa dùng 😁
Đầu năm mà vấn đề bảo mật đã đáng lo ngại tới mức này rồi
npdong1994
TÍCH CỰC
6 năm
Cố lên đội Windows.
Căng cho đội Microsoft
namdh7
TÍCH CỰC
6 năm
VS code, Slack, nuclide, Skype, Atom... đủ thứ
kusanghi
ĐẠI BÀNG
6 năm
Đang sử dụng nodejs với native . Haizzz
cầu trời nodejs ko có lỗ nào, k là mệt lắm =))
Kệ bà nó. Có gì phải sồn sồn lên trong khi mình chẳng có éo gì để người ta ăn cắp...
@vicktorbui - Bạn còn may mắn đó nó chưa kịp cà sạch thẻ
- Thẻ credit có 1 khuyết điểm rất lớn ngoài dãy số thẻ, đàng sau là 3 hoặc 4 mã số bí mật cũng in trên thẻ luôn. Đây đúng là 1 lỗ hổng bảo mật các ngân hàng cần tìm các cho an toàn hơn.
- Đã mấy lần đóng góp cho vài ngân hàng về vấn đề in trực tiếp mã bí mật lên thẻ là 1 điều tệ hại khi khách hàng vô tình làm mất thẻ mà không phát hiện kịp
@nbqvdp Trên toàn thế giới vẫn in như thế bác ơi. Hồi em làm thẻ thì mấy em ngân hàng chỉ cho là anh cào cái số đó đi. Em cũng cào đi đó chứ bác, nên mình không quá lo bị ăn cắp dãy số đó.
Còn đây là em bị rơi thẻ và bị cà mất 10 triệu. Thực ra là đợt đó em tiêu một ít rồi nên hạn mức chỉ còn tối đa tiêu thêm 10 triệu thôi. KHông thì chắc cũng đi sạch sẽ.
@vicktorbui Mình thì dùng thẻ chủ yếu thanh toán online nước ngoài trang uy tín. Thẻ thì cất vô tủ chả dám bỏ bóp

- Có ai như mình không? Tháng 4/2017 mình nhặt được cái bóp với 1 đống tiền VNĐ và USD, cũng có thẻ ghi nợ, thẻ ATM ....Tốn 1 mớ tiền điện thoại để tra ra số điện thoại dựa theo tên trong thẻ ATM, creadit card sau đó alo hẹn uống cafe xác minh 5 bước, ok rồi mới dám trả lại cho chủ nhân. Sau đó trả luôn tiền cafe cho anh ta. Vì thấy anh ta than thở khiếp quá
- Có chụp lại ai đó là thành viên lên tiếng xác minh hé;)
@nbqvdp Hiếm người như bác
- Hèn chi tài khoản Skype của mình hơn tuần nay có gần chục nick nước ngoài không add mà nó cũng nhảy vào phá đám, xoá tài khoản này thì có tài khoản khác
- Thôi kệ theo nguyên tắc của mình cứ sống chung với lũ, 100% là cài phần mềm lậu trên PC, chả phàn nàn gì ráo, chừng nào nó liệt, nó lết không nổi thì ghost máy lại 5 phút là lại có bộ cài mới tinh như mới mua máy. Đọc để biết cách tại sao nó đơ máy, chứ đi theo vá với sửa càng làm PC nó nhanh liệt
- Bữa nào rãnh thời gian nhiều thì cài lại bộ windows new version cùng với 1 đống phần mềm cần nâng cấp, sau đó backup lại để dành
Seul Đức
ĐẠI BÀNG
6 năm
@nbqvdp tui cũng vậy, dù biết có nguy hiểm nhưng kệ cha nó, có vấn đề gì thì ghost là xong. Mấy thứ quan trọng chả bao h ghi lên máy nên lấy được gì kệ nó 😁
tindecken
ĐẠI BÀNG
6 năm
đang mày mò code Electron 😃

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019