Phát hiện lỗ hổng nghiêm trọng ở Framework Electron, Skype, Slack, Twitch và hàng loạt app bị ảnh hưởng

Bộ khung phát triển (framework) của một loạt các ứng dụng desktop phổ biến như Skype, Slack, Signal, Twitch… xuất hiện một lỗ hổng bảo mật nghiêm trọng. Điều quan trọng là lỗ hổng này chỉ tác động lên Windows.

Trong khi chờ các nhà phát triển các ứng dụng bị ảnh hưởng cập nhật phiên bản mới để vá lỗi, Microsoft đã cập nhật Windows Defender để bảo vệ người dùng trước nguy cơ tấn công thông qua lỗ hổng này.

Đây là một lỗ hổng của Electron - framework được phát hành vào năm 2013. Dựa trên các công nghệ web như JavaScript, HTML và CSS, những nhà phát triển sử dụng nó để tạo ra các ứng dụng đa nền tảng phổ biến như Skype, Visual Studio Code, trình duyệt Brave, Basecamp, GitHub, Ghost, Signal, Slack, Twitch, WordPress …

Lỗ hổng này có nguy hiểm hay không còn tùy vào cách nhà phát triển sử dụng giao thức của Electron. Tin tặc có thể lợi dụng lỗ hổng này để thực thi mã độc từ xa đánh cắp dữ liệu người dùng và nó tác động lên tất cả các ứng dụng dùng framework Electron với bộ xử lý giao thức tùy biến.

Lỗ hổng xử lý giao thức đã được đội ngũ phát triển Electron vá trên phiên bản Electron 1.8.2-beta.4, 1.7.11 và 1.6.16. Trong khi chờ đợi các nhà phát triển cập nhật ứng dụng thì người dùng có thể xử lý tạm thời theo hướng dẫn tại đây. Skype đã vá lỗ hổng này trong phiên bản mới nhất, người dùng có thể cập nhật.

Xem thêm:

• Lỗ hổng mới trên Intel cho phép hacker chiếm quyền điều khiển máy tính của bạn trong vòng 30 giây
• Toàn cảnh lỗ hổng trên chip Intel, AMD, ARM: Meltdown và Spectre
• Firefox Quantum 58 đã có bản chính thức cho Windows, tăng cường bảo mật và có nhiều tính năng mới