Tin tứcApple và The Citizen Lab vừa phát hiện ra một lỗ hổng bảo mật nghiêm trọng, ảnh hưởng đến hàng loạt ứng dụng phổ biến và hàng triệu người dùng Internet.
Lỗ hổng này ảnh hưởng đến hàng loạt ứng dụng phổ biến và các phần mềm OTT như Google Chrome, Mozilla Firefox, Microsoft Edge, Affinity, Gimp, Inkscape, LibreOffice, Thunderbird, ffmpeg, Honeyview, Telegram, Signal và 1Password.
Lỗ hổng bảo mật được phát hiện có tên mã CVE-2023-4863 liên quan đến việc các chương trình, ứng dụng không quản lý tốt bộ nhớ và cho phép ghi đè dữ liệu hệ thống quan trọng.
Nếu tin tặc khai thác thành công lỗ hổng có thể chiếm quyền kiểm soát hệ thống từ xa, khởi động các cuộc tấn công quy mô lớn hơn.
Đây là một lỗ hổng lớn bởi trên thực tế, mọi chương trình phần mềm hoặc ứng dụng sử dụng libwebp để hiển thị hình ảnh WebP đều tồn tại sự cố.
WebP là một định dạng hình ảnh có khả năng nén cao do Google phát triển nhằm tối ưu hóa quá trình lướt web. Theo Google, hình ảnh WebP có kích thước trung bình nhỏ hơn 26% so với hình ảnh PNG và nhỏ hơn từ 25-34% so với hình ảnh JPEG.
Nếu codec này bị tràn bộ đệm heap, kẻ tấn công có thể tạo ra một hình ảnh WebP độc hại mà khi người dùng xem thì sẽ bị khai thác lỗ hổng, gây hại cho máy tính hoặc bị đánh cắp thông tin
Ngoài ra, sự tồn tại của lỗ hổng WebP còn tồn tại trên rất nhiều ứng dụng Android cũng như các ứng dụng đa nền tảng được xây dựng bằng Flutter.
Google đã xác nhận sự tồn tại của lỗ hổng WebP và đã phát hành khẩn cấp bản cập nhật Google Chrome 116 hay phiên bản chính thức 117.0.5938.89 (Phiên bản Chính thức mới nhất 64 bit) để vá.
Các chuyên gia khuyến nghị, người dùng nếu đang sử dụng bất kỳ ứng dụng nào trong số 13 ứng dụng đề cập ở trên nên cập nhật phần mềm lên phiên bản mới nhất ngay lập tức để giữ cho thiết bị của bạn an toàn hơn.
Nhóm Kiến trúc và Kỹ thuật Bảo mật của Apple (SEAR) đã phát hiện và báo cáo lỗ hổng WebP khi cộng tác với The Citizen Lab vào ngày 6/9/2023.
