Phát hiện lỗ hổng nghiêm trọng ở Framework Electron

Bộ khung phát triển (framework) của một loạt các ứng dụng desktop phổ biến như Skype, Slack, Signal, Twitch… xuất hiện một lỗ hổng bảo mật nghiêm trọng. Điều quan trọng là lỗ hổng này chỉ tác động lên Windows.

Electron – framework được phát hành vào năm 2013 của tác giả Cheng Zhao – một lập trình viên gốc Trung Quốc, là một bộ khung phát triển mã nguồn mở được công bố trên GitHub. Dựa trên các công nghệ web như JavaScript, HTML và CSS, những nhà phát triển sử dụng nó để tạo ra các ứng dụng đa nền tảng phổ biến như Skype, Visual Studio Code, trình duyệt Brave, Basecamp, GitHub, Ghost, Signal, Slack, Twitch, WordPress …

Trong khi chờ các nhà phát triển các ứng dụng bị ảnh hưởng cập nhật phiên bản mới để vá lỗi, Microsoft đã cập nhật Windows Defender để bảo vệ người dùng trước nguy cơ tấn công thông qua lỗ hổng này.

Tuy nhiên, lỗ hổng này nguy hiểm hay không lại tùy thuộc vào cách nhà phát triển sử dụng giao thức của Electron. Kiểm tra theo mã định danh CVE-2018-1000006 trên cơ sở dữ liệu lỗ hổng bảo mật NVD của Mỹ thì đây là một lỗ hổng cho phép kẻ tấn công thực thi mã độc từ xa và nó tác động lên tất cả các ứng dụng dùng framework Electron với bộ xử lý giao thức tùy biến. Có thể hiểu nếu một ứng dụng trên Windows có khả năng tự đảm nhận xử lý một giao thức nào đó theo mặc định với cú pháp như myapp:// thì đều bị tác động bởi lỗ hổng nói trên. Từ đó kẻ tấn công có thể tiêm và triển khai mã độc từ xa, đánh cắp dữ liệu người dùng.

Lỗ hổng xử lý giao thức đã được đội ngũ phát triển Electron vá trên phiên bản Electron 1.8.2-beta.4, 1.7.11 và 1.6.16. Trong khi chờ đợi các nhà phát triển cập nhật ứng dụng thì người dùng có thể xử lý tạm thời theo hướng dẫn tại đây. Skype đã vá lỗ hổng này trong phiên bản mới nhất, người dùng có thể cập nhật.