Phát hiện lỗ hổng bảo mật nghiêm trọng đe dọa người dùng Mac

Tạ Lê Trúc Quỳnh13:54 09/07/2019

Nhà nghiên cứu bảo mật Jonathan Leitschuh vừa tiết lộ lỗ hổng zero-day nghiêm trọng trong ứng dụng hội nghị truyền hình Zoom trên máy Mac.

Vấn đề được đánh giá là vô cùng quan trọng đối người dùng Mac – Ảnh: AFP

Theo Theverge, Leitschuh đã chứng minh rằng bất kỳ trang web nào cũng có thể mở một cuộc gọi kích hoạt video trên máy Mac với ứng dụng Zoom được cài đặt. Đó là vì ứng dụng Zoom dường như cài đặt một máy chủ web trên Mac chấp nhận các yêu cầu trình duyệt thông thường. Trên thực tế, nếu người dùng gỡ cài đặt Zoom thì máy chủ web vẫn tồn tại và có thể cài đặt lại Zoom mà không cần sự can thiệp của người dùng.

Sử dụng bản demo của Leitschuh, TheVerge đã xác nhận rằng lỗ hổng này thực sự đang hoạt động. Khi nhấp vào một liên kết nếu trước đó bạn đã cài đặt ứng dụng Zoom, nó sẽ đưa người dùng tự động tham gia cuộc gọi hội nghị truyền hình với máy ảnh trên thiết bị.

Video đang HOT

Leitschuh cho biết đã tiết lộ lỗ hổng cho Zoom vào cuối tháng 3 và cho công ty 90 ngày để giải quyết vấn đề. Tuy nhiên, Zoom dường như đã không làm hết trách nhiệm của mình để xử lý lỗi này. Lỗ hổng cũng được tiết lộ cho cả hai nhóm Chromium và Mozilla, nhưng vì nó không xuất phát từ trình duyệt của họ nên mọi thứ không thể xử lý được.

Báo cáo cho biết sự tồn tại của máy chủ web trên máy tính Mac là một vấn đề vô cùng nghiêm trọng cho người sử dụng. Ví dụ, nó có thể mở ra một cuộc tấn công từ chối dịch vụ trên máy Mac bằng cách liên tục ping máy chủ web.

Cũng theo Leitschuh, mọi người có thể tự vá lỗi này bằng cách đảm bảo ứng dụng Mac được cập nhật và vô hiệu hóa cài đặt cho phép Zoom bật máy ảnh khi tham gia cuộc họp. Lưu ý, gỡ cài đặt Zoom sẽ không chắc khắc phục được sự cố vì máy chủ web vẫn tồn tại trên máy Mac. Tắt máy chủ web yêu cầu chạy một số lệnh đầu cuối.

Hiện tại, Zoom cho biết máy chủ web là một giải pháp hợp pháp để đảm bảo trải nghiệm người dùng, cho phép họ có thể tham gia cuộc họp dễ dàng bằng thao tác nhấp chuột. Tuy nhiên, công ty cho biết sẽ bảo vệ người dùng trong bản vá lỗi tương lai, và những thay đổi sẽ được áp dụng trên tất cả nền tảng của họ. Bên cạnh đó, Zoom cũng loại bỏ khả năng tự động đưa người dùng tham gia cuộc gọi hội nghị truyền hình với máy ảnh trên thiết bị.

Theo thanh niên

Cảnh báo lỗ hổng an toàn thông tin nghiêm trọng trong bộ vi xử lý của Intel

Cục An toàn thông tin thuộc Bộ Thông tin và truyền thông vừa phát ra cảnh báo về lỗ hổng, điểm yếu an toàn thông tin nghiêm trọng trong bộ vi xử lý của Intel có thể bị các cuộc tấn công mạng lợi dụng.

Có bốn điểm yếu an toàn thông tin nghiêm trọng trong bộ vi xử lý Intel

Các chuyên gia về an toàn thông tin thuộc Đại học Công nghệ Graz của Áo và Đại học Công giáo Leuven của Bỉ vừa công bố bốn điểm yếu an toàn thông tin trong bộ vi xử lý Intel.

Bốn điểm yếu an toàn thông tin có mã lỗi quốc tế là: CVE-2018-12126; CVE-2018-12130; CVE-2018-12127; CVE-2019-11091.

Các điểm yếu an toàn thông tin này được các chuyên gia đánh giá là nghiêm trọng và có ảnh hưởng tới nhiều thiết bị đang sử dụng bộ vi xử lý của Intel bao gồm như máy tính để bàn, máy tính xách tay, máy chủ, điện thoại di động sử dụng các hệ điều hành Linux, Windows, MacOS, Android...

Các hình thức tấn công lợi dụng bốn điểm yếu an toàn thông tin trên được các chuyên gia công bố và vẫn đang được tiếp tục nghiên cứu, đánh giá sâu hơn bao gồm: tấn công ZombieLoad sử dụng điểm yếu CVE-2018-12130, tấn công RIDL sử dụng điểm yếu CVE-2018-12127 và CVE-2019-11091, tấn công Fallout sử dụng điểm yếu CVE - 2018-12126.

Cục An toàn thông tin cho biết, hiện tại Intel đã công bố danh sách sản phẩm bị ảnh hưởng và kế hoạch cập nhật, đồng thời làm việc với các doanh nghiệp sản xuất hệ điều hành, firmware, thiết bị để hỗ trợ cập nhật bản vá.

Nhằm bảo đảm an toàn thông tin và phòng tránh việc đối tượng tấn công lợi dụng điểm yếu an toàn thông tin để thực hiện những cuộc tấn công mạng nguy hiểm, Cục An toàn thông tin khuyến nghị các quản trị viên tại các cơ quan, đơn vị và người dùng kiểm tra, rà soát, xác định các máy tính bị ảnh hưởng bởi các điểm yếu trên, đồng thời cập nhật bản vá hoặc nâng cấp các hệ điều hành để tạm thời vá các điểm yếu.

Đối với các hệ điều hành chưa có thông tin về bản vá, cần theo dõi thường xuyên để nâng cấp ngay khi có biện pháp xử lý. Đối với những dòng sản phẩm mà Intel không có kế hoạch cập nhật, Cục An toàn thông tin khuyến cáo cần lên kế hoạch thay thế trong thời gian tới.

Theo theleader

D-Link chấp nhận kiểm tra lại toàn bộ hệ thống bảo mật của công ty D-Link đã chấp nhận một vài điều kiện để có thể giải quyết một vụ kiện 2 năm được Ủy ban Thương mại Liên bang Mỹ (FTC) đệ trình, về tính bảo mật không đủ trên các sản phẩm của họ. D-Link chấp nhận yêu cầu về đánh giá bảo mật từ FTC Theo Engadget, để bắt đầu, công ty được yêu cầu...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Con gái vừa về làm dâu tỷ phú, gia đình và hàng xóm Á hậu Phương Nhi tranh thủ làm 1 việc gây chú ý03:50

Khung hình quyền lực: Vợ chồng tỷ phú Phạm Nhật Vượng đón Á hậu Phương Nhi về làm dâu, biểu cảm gây chú ý00:54

Mẹ Phương Nhi chiếm spotlight, không giấu được biểu cảm khi con gái về nhà chồng tỷ phú00:21

CLIP: Trọn vẹn khoảnh khắc gia đình tỷ phú Phạm Nhật Vượng đón con dâu từ Thanh Hóa về Hà Nội00:44

Thiếu gia Vingroup mang sính lễ hỏi cưới Á hậu Phương Nhi khủng cỡ nào?00:45

Ảnh nét căng bên trong lễ ăn hỏi của Á hậu Phương Nhi: Thiếu gia Vingroup chiều vợ ra mặt, 1 chi tiết để lộ mối quan hệ với bố mẹ chồng03:50

Thanh niên đi Mazda tát túi bụi nhân viên cây xăng ở Nghệ An: Hé lộ nguồn cơn02:08

MV Tết của Đen quá hot: Đạt Top 1 Trending sau hơn 1 ngày, kéo dài chuỗi kỷ lục suốt 6 năm!05:15

Bí mật về quê sau 11 năm ở Hàn Quốc, chàng trai tặng bố mẹ 'món quà' bất ngờ01:26

Diễn viên Hoàng Kim Ngọc: 'Tôi nghi chồng chạy vai để gián tiếp cho vợ ăn đấm'02:01

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn