Liên hệ góp ý Miễn trừ trách nhiệm Điều khoản sử dụng Chính sách bảo mật

Giấy phép thiết lập MXH số 387/GP-BTTTT, do Bộ Thông tin và Truyền thông cấp ngày 21/12/2024.



Bị hack qua phông chữ: Facebook cảnh báo về lỗ hổng bảo mật lớn

phan linh
phan linh 15:11, 06/05/2025
Theo dõi

Meta là công ty mẹ của Facebook đã đưa ra cảnh báo về lỗ hổng bảo mật nguy hiểm có trong thư viện phông chữ FreeType. Điều đáng nói, thư viện kết xuất phông chữ này được sử dụng rộng rãi và có khá nhiều ứng dụng đang phụ thuộc vào. Tin tặc có thể đã khai thác lỗ hổng này trong thực tế, trong khi một số bản phân phối phần mềm Linux lại rất dễ bị tấn công.

Mức độ nghiêm trọng của lỗ hổng có trong FreeType rất cao và được đánh giá thang điểm là 8,1 trên 10. Nó cho phép kẻ tấn công chạy mã tùy ý trên các hệ thống dễ bị tổn thương, cố gắng kết xuất một số loại phông chữ nhất định.

anh-14-3-25-1024
Ảnh minh họa

Theo khuyến cáo, cảnh báo của đại diện Facebook, có một lỗi ghi ngoài giới hạn (một loại lỗ hổng bộ nhớ) tồn tại trong thư viện phông chữ FreeType phiên bản 2.13.0 trở xuống (các phiên bản FreeType mới hơn không dễ bị tấn công).

Facebook cũng giải thích thêm rằng, lỗi bộ nhớ nằm ở việc tính toán sai lượng bộ nhớ cần thiết để xử lý một số loại tệp phông chữ nhất định như TrueType GX và phông chữ biến đổi. Phần mềm cuối cùng phân bổ quá ít bộ nhớ, khiến mã ghi "tối đa sáu số nguyên dài có dấu ngoài giới hạn" so với bộ đệm được phân bổ.

Facebook lưu ý, điều này có thể dẫn đến việc thực thi mã tùy ý. Lỗ hổng này có thể đã bị khai thác ngoài thực tế.

Freetype 2.13.0, phiên bản dễ bị tấn công cuối cùng được phát hành vào ngày 09/02/2023 và ba tháng sau được thay thế bằng phiên bản mới hơn.

Tuy nhiên, nhiều hệ thống vẫn phụ thuộc vào các thư viện phần mềm cũ hơn để hiển thị phông chữ.

Theo danh sách liệt kê về hệ thống giám sát và phát hiện xâm nhập mã nguồn mở, nhiều bản phân phối Linux và gói phần mềm bao gồm các phiên bản FreeType cũ hơn, bao gồm Ubuntu 22.04, Amazon Linux 2, Debian ổn định / Devuan, RHEL / CentOS Stream / Alma Linux / v.v. 8 và 9, GNU Guix, Mageia, OpenMandriva, openSUSE Leap, Slackware, Debian Bookworm.

Các trình duyệt web đã bao gồm các phiên bản FreeType mới hơn.

Lỗi này sẽ không quá đáng lo ngại nếu mọi người chỉ sử dụng các phông chữ đáng tin cậy, như thường lệ. Tuy nhiên, các trang web hiện nhúng phông chữ và định dạng "tệp phông chữ biến đổi" bị ảnh hưởng được sử dụng rộng rãi trong các trình duyệt. Nó cho phép điều chỉnh tham số các thuộc tính phông chữ, một nhà nghiên cứu bảo mật giải thích.

Bài mới

Xử lý đối tượng đăng tải video chứa nội dung sai sự thật lên mạng xã hội
Xử lý đối tượng đăng tải video chứa nội dung sai sự thật lên mạng xã hội

Lê Nguyên
Lê Nguyên 15:11, 06/05/2025
Phá đường dây rửa tiền liên quan đến tội phạm lừa đảo xuyên quốc gia trên không gian mạng
Phá đường dây rửa tiền liên quan đến tội phạm lừa đảo xuyên quốc gia trên không gian mạng

Lê Nguyên
Lê Nguyên 15:11, 06/05/2025
Giải bài toán an toàn an ninh mạng trước các mối đe dọa ngày càng tinh vi
Giải bài toán an toàn an ninh mạng trước các mối đe dọa ngày càng tinh vi

Lê Nguyên
Lê Nguyên 15:11, 06/05/2025
Cẩn trọng khi tài khoản ngân hàng bỗng dưng bị khóa
Cẩn trọng khi tài khoản ngân hàng bỗng dưng bị khóa

Lê Nguyên
Lê Nguyên 15:11, 06/05/2025
Nhà Trắng yêu cầu các cơ quan tránh sa thải nhân viên an ninh mạng
Nhà Trắng yêu cầu các cơ quan tránh sa thải nhân viên an ninh mạng

Lê Nguyên
Lê Nguyên 15:11, 06/05/2025
Công nghệ và số hóa có tác động lớn đến ngành Y tế
Công nghệ và số hóa có tác động lớn đến ngành Y tế

Lê Nguyên
Lê Nguyên 15:11, 06/05/2025
Các ông lớn ngân hàng cảnh báo AI có thể làm gia tăng tội phạm mạng
Các ông lớn ngân hàng cảnh báo AI có thể làm gia tăng tội phạm mạng

Lê Nguyên
Lê Nguyên 15:11, 06/05/2025
Đề xuất
Chủ đề HOT
Kiến thức Phòng chống tội phạm mạng Lừa đảo thông qua tiền ảo Chống lừa đảo