Lỗi nghiêm trọng trong phần mềm chat Zalo được khắc phục
 

Lỗi nghiêm trọng trong phần mềm chat Zalo được khắc phục

Phần mềm chat Zalo trên máy tính gặp lỗ hổng nghiêm trọng giúp kẻ xấu có thể khai thác để điều khiển máy tính nạn nhân, tuy nhiên lỗ hổng này đã được vá.

CyberJutsu, một nhóm nghiên cứu bảo mật Việt Nam, vừa công bố 3 lỗ hổng phần mềm chat Zalo trên máy tính. Một trong 3 lỗi này có thể bị lợi dụng đánh cắp thông tin hiển thị trên máy tính nạn nhân. Phía Zalo đã sửa các lỗi này và cảm ơn nhóm chuyên gia phát hiện.

Lỗi nghiêm trọng trong phần mềm chat Zalo được khắc phục


Cụ thể, nhóm CyberJutsu đặt tên các lỗi bao gồm ZAL-01-001, ZAL-01-002 và ZAL-01-003. Lỗi 001 khiến tên file quá dài sẽ hiển thị tràn ra khỏi khung chat, lỗi 002 hiển thị loại icon file không chính xác.

Lỗi thứ 3 nghiêm trọng hơn - blacklist của phần mở rộng file không chặt chẽ, dẫn đến việc hacker có thể gửi một file thực thi qua khung chat.

Trong trường hợp xấu nhất, tin tặc có thể lợi dụng lỗ hổng này để khởi động một cuộc tấn công thực thi mã từ xa (remote code execution, RCE), có khả năng điều khiển máy tính nạn nhân hoặc phục vụ mục đích khác.

Để chứng minh giả thuyết này, nhóm CyberJutsu công bố đoạn video trong đó kết hợp cả 3 lỗi kể trên để gửi một file độc hại tới máy tính nạn nhân mô phỏng. File hiển thị như một tập tin PDF vô hại. Khi nạn nhân click vào file này và file khởi chạy, nhóm chuyên gia bằng các kỹ thuật của mình đã có thể đọc được các nội dung ghi trên màn hình máy tính bị tấn công.

 
Lỗi nghiêm trọng trong phần mềm chat Zalo được khắc phục
Nhóm CyberJutsu minh hoạ tấn công lỗ hổng của phần mềm Zalo trên máy tính. (Ảnh chụp màn hình) 

Phía Zalo đã sửa hai lỗi đầu tiên khi được nhóm CyberJutsu thông tin, đồng thời cũng sửa xong lỗi nghiêm trọng thứ 3.

Một nguồn tin am hiểu sự việc nói với ICTnews, trên thực tế lỗi thứ 3 đã được Zalo phát hiện hồi tháng 3 và vá lỗi. Tuy nhiên bản vá chưa khắc phục hoàn toàn, sau đó được nhóm chuyên gia bảo mật phát hiện, nên đã có bản cập nhật sửa lỗi hoàn chỉnh vào ngày 1/10.

Zalo có chương trình tìm kiếm lỗ hổng bảo mật của sản phẩm, và khuyến khích các chuyên gia phát hiện lỗi của ứng dụng OTT này. Sau phát hiện của CyberJutsu, Zalo đã cám ơn nhóm này trên website của họ. Cùng với nhóm chuyên gia người Việt, Zalo cũng cám ơn một cá nhân và một nhóm khác đã phát hiện các lỗ hổng trước đó.

Hải Đăng

Zalo Bank đổi tên, thừa nhận "có thể gây hiểu lầm"

Zalo Bank đổi tên, thừa nhận "có thể gây hiểu lầm"

 Trong thông báo mới nhất gửi đến người dùng, Zalo Bank thừa nhận "tên gọi này có thể gây hiểu lầm" nên sẽ sử dụng tên gọi mới là Finance @ Zalo.

 
List comment
 
21 game Android nên xóa ngay trước khi quá muộn
icon

Dưới vỏ bọc game giải trí thông thường, 21 game trên chợ ứng dụng Android lại chứa phần mềm quảng cáo, gây hại cho thiết bị của người dùng.  

 
3 cách cải thiện kỹ năng an ninh mạng cho nhân viên khi làm việc từ xa
icon

Trong bối cảnh quá trình chuyển đổi số đang được thúc đẩy mạnh mẽ, việc tổ chức, doanh nghiệp nâng cao nhận thức về rủi ro bảo mật và trang bị kỹ năng bảo vệ của mỗi cá nhân càng trở nên quan trọng.

 
Đã đến lúc loại bỏ hình thức xác thực qua SMS OTP?
icon

Những vụ mất tiền trong tài khoản ngân hàng thời gian gần đây đã dấy lên hồi chuông báo động về phương thức xác thực thanh toán bằng mã OTP gửi qua tin nhắn đến điện thoại (SMS OTP).

 
5 cách để tránh bị lừa đảo trên mạng
icon

Duy trì 2 địa chỉ email, nghi ngờ những thứ quá tốt so với thực tế,... nằm trong số những biện pháp mà người dùng có thể sử dụng để tránh bị lừa đảo trên mạng Internet.

 
Sở Công Thương Lâm Đồng rà quét, phát hiện 9 loại mã độc trong hệ thống
icon

Trong chiến dịch rà quét 2020, Sở Công Thương Lâm Đồng phát hiện 9 loại mã độc trên một số máy tính của cơ quan, cùng một số cảnh báo về tồn tại trong hệ thống. Văn phòng Sở đã có các biện pháp xử lý phù hợp.

 
 
Kiểm tra mật khẩu bị lộ ở đâu?
icon

Người Việt có thể bị lộ mật khẩu trên mạng mà không hề hay biết, vì thế để đảm bảo an toàn có thể sử dụng các website để kiểm tra.

93% Trung tâm điều hành an ninh mạng sử dụng AI và máy học để chống tấn công mạng
icon

Nền tảng đám mây, AI, máy học đang được ứng dụng ngày một rộng rãi, đặc biệt là trong lĩnh vực an toàn thông tin.

Nguy cơ mất an toàn thông tin trong ngành y tế như thế nào?
icon

Lĩnh vực y tế là một ngành nghề đối mặt với nhiều thách thức về bảo mật và an toàn thông tin. Trong lĩnh vực y tế, rủi ro mất an toàn thông tin cũng tương tự những ngành khác, thậm chí ở quy mô lớn hơn.

Có tới 33% thiết bị IoT đang bị nhiễm virus
icon

Khái niệm IoT có thể còn khá xa lạ với nhiều người dùng tại Việt Nam nhưng trên thực tế đó chính là những vật dụng quen thuộc hàng ngày như máy tính, điện thoại, tivi, điều hòa…có kết nối với Internet.

Những thói quen sai lầm khi sử dụng mạng không dây
icon

Thông thường, khi thiết lập bảo mật cho mạng không dây, sẽ có các tùy chọn mã hóa khác nhau nhưng rất ít người dùng tại Việt Nam hiểu rõ những nội dung này.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123