Sự cố lỗ hổng bảo mật lớn được phát hiện trong WebP Codec đã khiến cho các nhà sản xuất phần mềm đua nhau phát hành các bản vá – và bạn cần cập nhật để bảo vệ bản thân.
Vấn đề này có phần phức tạp, nhưng Stack Diary đã có một bài giải thích chi tiết về tình hình hiện tại – bạn có thể tìm thấy nó tại đây. Ngắn gọn lại, WebP Codec, được sử dụng để giúp thiết bị của bạn hiểu và hiển thị hình ảnh WebP, có một lỗ hổng tràn bộ đệm hệ thống có thể cho phép một kẻ tấn công kiểm soát hệ thống của bạn, đánh cắp dữ liệu hoặc đưa vào phần mềm độc hại.
Xét về việc WebP là định dạng hình ảnh phổ biến trực tuyến, lỗ hổng này rất nghiêm trọng. Hơn nữa, các nhà sản xuất phần mềm nhận thức rằng lỗ hổng này đã được kẻ tấn công lợi dụng. May mắn thay, các bản vá đã được phát hành để khắc phục vấn đề này.
Trước hết, các nhà sản xuất trình duyệt đã phát hành các bản vá bảo mật quan trọng để khắc phục lỗ hổng, vì vậy bạn cần đảm bảo trình duyệt của mình được cập nhật:
– Chrome: Phiên bản Windows: 116.0.5845.187/.188 | Phiên bản Mac/Linux: 116.0.5846.187
– Edge: Phiên bản 116.0.1938.81
– Firefox: Phiên bản 117.01, phiên bản ESR 102.15.1 hoặc phiên bản 115.2.1
– Brave: phiên bản 1.57.64
The Verge cũng chú ý rằng Apple đã phát hành một bản vá bảo mật cho macOS có vẻ như khắc phục vấn đề này, mặc dù bản vá của Apple tham chiếu một số sự cố khác với số liệu mà Cục Tiêu Chuẩn Công Nghệ và Công Nghệ Quốc gia Hoa Kỳ liệt kê.
Stack Diary cũng cảnh báo rằng nhiều ứng dụng bị ảnh hưởng và một số ứng dụng đã phát hành bản vá. Ứng dụng tin nhắn mã hóa Signal và ứng dụng xem ảnh Honeyview đã nhận được bản vá cho lỗ hổng này. Các ứng dụng khác bị ảnh hưởng bao gồm Affinity, Gimp, LibreOffice, Telegram và nhiều ứng dụng Android khác và các ứng dụng đa nền tảng được xây dựng bằng Flutter.
Do đó, bạn cần chú ý các bản vá bảo mật và cập nhật cho nhiều ứng dụng của bạn và đảm bảo cập nhật thường xuyên trong những ngày tới.
Nguồn: NIST, Stack Diary Thông qua: The Verge
A major security vulnerability discovered in the WebP Codec has sent software makes scrambling to release patches — and you should be installing updates to protect yourself.
The issue is somewhat complicated, but Stack Diary has an excellent breakdown of what’s going on — you can find that here. In short, the WebP Codec, which is used to help your device understand and display WebP images, has a heap buffer overflow vulnerability that could enable an attacker to take control of your system, steal data, or introduce malware.
Considering WebP is a widely-used image format online, the vulnerability is very severe. Moreover, software makers are aware that the vulnerability has actively been exploited. Thankfully, patches are already rolling out to address the issue.
First up, browser makers have issued critical security patches to address the vulnerability, so you’ll want to make sure your browser is updated accordingly:
- Chrome: Windows version: 116.0.5845.187/.188 | Mac/Linux version: 116.0.5846.187
- Edge: Version 116.0.1938.81
- Firefox: Version 117.01, ESR version 102.15.1 or version 115.2.1
- Brave: version 1.57.64
The Verge also notes that Apple released a security patch for macOS that appears to address the issue, though Apple’s patch references a different issue number than the one listed by the U.S. National Institute of Standards and Technology (NIST).
Stack Diary also warned that several apps are impacted and some have already pushed updates. Encrypted messaging app Signal and image viewing app Honeyview have received patches for the vulnerability. Other impacted apps include Affinity, Gimp, LibreOffice, Telegram, and many other Android apps and cross-platform apps built with Flutter.
As such, you’ll want to watch out for security patches and updates for many of your apps and make sure you’re updating things regularly over the coming days.
Source: NIST, Stack Diary Via: The Verge
