Các lỗ hổng trên WebKit cho phép thực thi mã từ xa

Hạnh Tâm| 02/12/2020 20:47
Theo dõi ICTVietnam trên

Công cụ trình duyệt WebKit bị ảnh hưởng bởi một số lỗ hổng bao gồm cả những lỗ hổng có thể bị khai thác để thực thi mã từ xa bằng cách thuyết phục người dùng mục tiêu truy nhập một trang web độc hại.

WebKit là một công cụ mã nguồn mở được sử dụng bởi Safari và các sản phẩm khác của Apple cũng như nhiều ứng dụng khác cho macOS, iOS và Linux.

Nhóm tình báo và nghiên cứu về mối đe dọa Talos của Cisco tiết lộ rằng một trong các nhà nghiên cứu của họ đã xác định được một số lỗ hổng use-after-free (cho phép kẻ xấu tấn công sau khi người dùng tương tác với phần mềm độc hại) có mức nghiêm trọng cao. Chúng có thể bị khai thác để thực thi mã từ xa bằng cách yêu cầu người dùng mục tiêu truy nhập vào một trang web lừa đảo đặc biệt bằng trình duyệt sử dụng WebKit.

Các lỗ hổng có liên quan đến WebSocket của Webkit, chức năng AudioSourceProviderGStreamer và ImageDecoderGStreamer.

Các lỗ hổng trên WebKit cho phép thực thi mã từ xa - Ảnh 1.

Theo Talos, lỗ hổng được báo cáo trong thời gian vừa qua đã được vá hồi đầu tháng 11. Số hiệu các lỗ hổng là CVE-2020-13584, CVE-2020-13558 và CVE-2020-13543.

Theo khuyến nghị được WebKitGTK đưa ra vào tuần trước, người dùng nên sử dụng một cổng WebKit đầy đủ tính năng và WPE, triển khai WebKit cho các thiết bị có mức tiêu thụ thấp và các thiết bị nhúng mà có hai lỗ hổng thực thi mã mà Talos tìm thấy (một lỗ hổng được tiết lộ hiện nay và một được tiết lộ hồi tháng 9) cũng như một số lỗ hổng được báo cáo bởi các nhà nghiên cứu khác.

Taylos đã công bố các chi tiết kỹ thuật của từng lỗ hổng và công ty đưa ra các quy tắc SNORT giúp khách hàng phát hiện các nỗ lực khai thác.

Apple cũng sẽ vá các lỗ hổng WebKit mới nhất bằng các bản cập nhật phần mềm sắp tới.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Thúc đẩy hợp tác thông tin và truyền thông với các nước Trung Đông
    Từ ngày 28 - 31/10, trong khuôn khổ chuyến thăm chính thức của Thủ tướng Chính phủ Phạm Minh Chính đến ba nước Tiểu vương quốc Ả-rập Thống nhất, Ả-rập Xê-út và Qatar, Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng đã có các cuộc làm việc với các cơ quan quản lý và doanh nghiệp tại các nước này, đặt nền móng cho việc mở rộng các chương trình hợp tác với khu vực này.
  • Tại sao bộ phận CNTT cần nâng cấp trải nghiệm nhân viên số?
    Có rất nhiều lợi ích khi cải thiện trải nghiệm nhân viên kỹ thuật số (DEX) và đây là lĩnh vực mà các nhà lãnh đạo rất lạc quan. Tuy nhiên, có sự khác biệt khi nói đến ứng dụng thực tế trong bộ phận công nghệ thông tin.
  • "Không gian mới" và một số vấn đề đặt ra cho ngành xuất bản
    Cách mạng công nghệ (CMCN) lần thứ tư tạo ra chuyển đổi số, tạo ra một không gian mới là không gian mạng (KGM). Trong ngành xuất bản tự nhiên xuất hiện hàng loạt doanh nghiệp mới, chủ yếu là doanh nghiệp công nghệ số, chưa từng làm xuất bản nhưng lại có sản phẩm thay thế xuất bản. Chủ yếu là ở trên không gian mới - KGM.
  • Các cuộc tấn công ngầm trong truyền thông kỹ thuật số
    Trong thế giới trực tuyến của chúng ta, chúng ta đang phải đối mặt với một mối đe dọa mạng mới vừa lén lút vừa nguy hiểm: các cuộc tấn công ngầm.
  • Tạo "hệ sinh thái" KOL trẻ vì cộng đồng
    Sau hành trình của Đội tuyển bóng đá U23 Việt Nam năm 2018, vượt ra ngoài khuôn khổ trận đấu, mỗi cầu thủ sau khi trở về đều trở thành niềm tự hào của quê hương, đồng thời truyền cảm hứng, nối ước mơ cho thế hệ trẻ. Cùng công thức ấy, liệu có thể áp dụng cho lĩnh vực chính trị-xã hội?
Đừng bỏ lỡ
Các lỗ hổng trên WebKit cho phép thực thi mã từ xa
POWERED BY ONECMS - A PRODUCT OF NEKO