Lỗ hổng trong thư viện xử lý hình ảnh của Google gây mất an ninh hàng triệu ứng dụng
09:16:00 | 29-09-2023

Lỗ hổng cực kỳ nghiêm trọng trong thư viện hình ảnh Libwebp của Google cho phép hacker kích hoạt lỗi tràn bộ đệm Heap và thực thi mã tùy ý. Điều đáng nói, định dạng WebP hỗ trợ nhiều trình duyệt phổ biến như Chrome, Edge, Safari, Firefox... Do đó, hàng triệu ứng dụng đang bị ảnh hưởng và rất khó để kiểm tra hay cập nhật bản vá trong thời gian ngắn vì lượng sử dụng quá lớn.

Libwebp là thư viện ảnh do Google phát triển và ảnh được kết xuất dưới định dạng WebP. Định dạng này có khả năng nén ảnh cao dưới hai hình thức nén không mất dữ liệu (lossless) và nén mất dữ liệu (lossy) nhằm tạo ra những bức ảnh có dung lượng nhỏ nhưng vẫn đảm bảo chất lượng hiển thị khiến quá trình tải web nhanh hơn (tối ưu về dung lượng hơn so với định dạng PNG hoặc JPEC).

Phạm vi ảnh hưởng của lỗ hổng (mã định danh CVE-2023-5129, điểm nghiêm trọng 10/10) rộng đến mức bất kỳ phần mềm nào sử dụng định dạng WebP đều dính lỗi này, bao gồm các trình duyệt chính như: Chrome, Firefox, Safari và Edge, các hệ điều hành như: Debian, Ubuntu, Alpine, RedHat...

Trong khi lỗ hổng này đang bị tin tặc tích cực khai thác, các chuyên gia của Bkav khuyến cáo:

  • Người dùng cần cập nhật bản vá của phần mềm, ứng dụng đang dùng ngay khi có thể.
  • Lập trình viên cần khẩn trương rà soát, cập nhật phiên bản mới của thư viện Libwebp chỉ từ các nguồn chính thống của Google.
  • Các cơ quan, tổ chức cần tăng cường giám sát an ninh để giảm thiểu rủi ro bị tấn công từ lỗ hổng này.

Bkav