Lỗ
hổng
bảo
mật
này,
có
tên
mã
CVE-2023-40477,
do
các
chuyên
gia
bảo
mật
của
Zero
Day
Initiative
(ZDI)
phát
hiện
từ
tháng
6-2023
song
mới
được
công
bố
sau
khi
nhà
phát
triển
RARLAB
phát
hành
bản
vá
lỗi.
WinRAR
là
ứng
dụng
phổ
biến
với
người
dùng
máy
tính
Windows,
dùng
để
nén
và
giải
nén
các
tập
tin.
Lỗ
hổng
này
cho
phép
tin
tặc
có
thể
thực
thi
mã
tùy
ý
trên
hệ
thống
máy
tính
người
dùng,
sau
khi
họ
mở
một
tập
tin
nén
được
chế
tạo
đặc
biệt
theo
ý
đồ
của
kẻ
tấn
công.
Các
chuyên
gia
bảo
mật
tại
ZDI
cũng
không
cho
biết
cụ
thể
về
lỗ
hổng,
chỉ
mô
tả
rằng
chúng
xuất
hiện
trong
quá
trình
xử
lý
"khối
lượng
khôi
phục",
công
đoạn
trong
quy
trình
giải
nén
của
phần
mềm
WinRAR.
Hình
ảnh
ứng
dụng
nén
và
giải
nén
WinRAR
phổ
biến
trên
máy
tính
chạy
hệ
điều
hành
Windows.
Ảnh:
Bleeping
Computer
Bleeping
Computer
dẫn
nhận
định
của
các
chuyên
gia
cho
rằng
đây
là
lỗ
hổng
nghiêm
trọng
nhưng
việc
khai
thác
nó
còn
phụ
thuộc
thao
tác
từ
phía
người
dùng.
Thực
tế,
việc
đánh
lừa
người
dùng
thực
hiện
hành
động
mở
file
không
phải
thách
thức
quá
lớn
với
tin
tặc.
Mặt
khác,
do
WinRAR
có
lượng
người
dùng
khổng
lồ
trên
khắp
thế
giới
nên
cơ
hội
để
kẻ
tấn
công
khai
thác
thành
công
lỗi
trên
là
rất
cao.
Để
vá
lỗ
hổng,
nhà
phát
triển
RARLAB
đã
tung
bản
vá
lỗi
6.23
và
khuyến
nghị
người
dùng
sớm
cập
nhật.
Ngoài
lỗ
hổng
trên,
bản
cập
nhật
cũng
sửa
một
lỗi
nghiêm
trọng
khác
khiến
một
số
tập
tin
lưu
trữ
đặc
biệt
có
thể
gặp
vấn
đề
khi
nén.
Microsoft
được
cho
là
còn
đang
thử
nghiệm
một
tính
năng
sẵn
có
trên
Windows
11,
cho
phép
người
dùng
có
thể
nén
tệp
tin,
hỗ
trợ
các
định
dạng
nén
phổ
biến
hiện
nay
là
RAR,
7-Zip
và
GZ.
"Nếu
tính
năng
này
được
bổ
sung
chính
thức,
người
dùng
máy
tính
Windows
sẽ
ngày
càng
ít
sử
dụng
đến
các
phần
mềm
từ
bên
thứ
ba
như
WinRAR"
-
Bleeping
Computer
nhận
xét.
Bằng
Hưng
http://dlvr.it/StygPf
Không có nhận xét nào