Mới đây, nhóm nghiên cứu bảo mật CyberJutsu đã công bố một số lỗ hổng trên phần mềm nhắn tin Zalo PC. Bao gồm: Không kiểm soát được tên tệp tin quá dài bị tràn ra khỏi khung chat; Hiển thị biểu tượng loại tệp tin không chính xác; Không kiểm soát chặt chẽ kiểu tệp tin tạo điều kiện cho một cuộc tấn công RCE (Remote Code Execution).
Dựa trên những lỗ hổng này, hacker có thể gửi tệp tin chứa mã độc cho người dùng Zalo PC thông qua tin nhắn cá nhân hoặc tin nhắn nhóm. Khi người dùng nhấp vào, tệp tin sẽ được tải về và chạy, mã độc cũng ngay lập tức được thực thi. Trong trường hợp xấu nhất, hacker có thể lợi dụng tính năng này để thực hiện cuộc tấn công thực thi mã từ xa (RCE) nhằm kiểm soát máy tính của nạn nhân hoặc triển khai các cuộc tấn công khác với mục đích trục lợi. Ví dụ, tin nhắn có đính kèm một tệp tin có thể thực thi nhưng giả mạo như một tệp tin văn bản PDF thông thường.
Hiện nay, Zalo đã cập nhật bản vá lỗi hoàn chỉnh vào ngày 01/10/2020. Người dùng có thể cập nhật phiên bản Zalo PC mới để sử dụng an toàn.
Chi tiết tại: Zalo PC gặp lỗi RCE nghiêm trọng, người dùng nên cẩn thận khi nhận tập tin đính kèm
--
FIT Support