Máy tính có thể bị hack chỉ với 1 click nếu cài các ứng dụng này (Telegram, VLC, LibreOffice,…)

lỗ hổng 1-click Nhiều lỗ hổng 1-click (one-click vulnerability) đã được phát hiện trên nhiều ứng dụng phần mềm phổ biến, cho phép kẻ tấn công thực thi mã tùy ý trên các hệ thống mục tiêu.



Các lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Fabian Bräunlein và Lukas Euler tại Positive Security. Các ứng dụng bị ảnh hưởng bao gồm Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin / Dogecoin Wallets, Wireshark và Mumble.



Các nhà nghiên cứu cho biết: “Các ứng dụng trên PC chuyển các URL do người dùng cung cấp để mở bởi hệ điều hành thường dễ xuất hiện lỗ hổng thực thi mã dưới sự tương tác của người dùng. Việc thực thi mã có thể đạt được khi một URL trỏ đến tệp thực thi độc hại (.desktop, .jar, .exe,…) được lưu trữ trên một tệp chia sẻ có thể truy cập internet (nfs, webdav, smb,…) được mở hoặc một lỗ hổng bổ sung trong trình xử lý URI của ứng dụng đã mở được khai thác.”



Nói cách khác, vấn đề bắt nguồn từ việc xác thực URL đầu vào. Các URL khi được mở bởi hệ điều hành mà không được xác thực hợp lý sẽ dẫn tới khả năng vô tình thực thi các tệp độc hại.



Phân tích của Positive Security cho thấy nhiều ứng dụng không thể xác thực URL, do đó cho phép kẻ tấn công tạo ra một liên kết được thiết kế đặc biệt trỏ đến một đoạn mã tấn công, dẫn đến việc thực thi mã từ xa.



Dưới đây là các ứng dụng bị ảnh hưởng. Lưu ý rằng hầu hết đều đã tung ra bản cập nhật vá lỗi:





Nextcloud  – Đã khắc phục trong phiên bản 3.1.3 dành cho Desktop Client, phát hành ngày 24 tháng Hai (CVE-2021-22879)
Telegram – Vấn đề được báo cáo vào 11 tháng Một và sau đó được sửa tại phía máy chủ trước ngày 10 tháng Hai.

VLC Player  – Vấn đề được báo cáo vào 18 tháng Một, phiên bản sửa lỗi 3.0.13 được phát hành 1 tuần sau đó.
OpenOffice – Sắp được khắc phục vào bản vá tiếp theo (CVE-2021-30245)

LibreOffice  – Đã khắc phục trong Windows, nhưng lỗ hổng vẫn tồn tại ở Xubuntu (CVE-2021-25631)

Mumble  – Đã khắc phục trong phiên bản 1.3.4 phát hành ngày 10 tháng Hai (CVE-2021-27229)

Dogecoin  – Đã khắc phục trong phiên bản 1.14.3 phát hành 28 tháng Hai

Bitcoin ABC  – Đã khắc phục trong phiên bản 0.22.15 phát hành 9 tháng Ba

Bitcoin Cash  – Đã khắc phục trong phiên bản 23.0.0 (đang chuẩn bị phát hành)

Wireshark  – Đã khắc phục trong phiên bản 3.4.4 phát hành ngày 10 tháng Ba (CVE-2021-22191)

WinSCP  – Đã khắc phục trong phiên bản 5.17.10 phát hành 26 tháng Hai (CVE-2021-3331)

Theo Thehackernews
The post Máy tính có thể bị hack chỉ với 1 click nếu cài các ứng dụng này (Telegram, VLC, LibreOffice,…) appeared first on SecurityDaily .