Bạn có thể bị hack chỉ bởi một file ảnh định dạng JPEG 2000

 

Các nhà nghiên cứu đã tiết lộ một lỗ hổng zero-day nghiêm trọng trong trình phân tích cú pháp cho các file ảnh định dạng JPEG 2000 của thư viện OpenJPEG. Lỗ hổng này cho phép một kẻ tấn công thực thi từ xa các đoạn mã tùy ý ngay trên hệ thống bị ảnh hưởng.

Được khám phá bởi các nhà nghiên cứu bảo mật tại nhóm Talos thuộc Cisco, lỗ hổng zero-day này được gán cho mã hiệu TALOS-2016-0193/CVE-2016-8332. Nó có thể cho phép ghi dữ liệu ra ngoài vùng nhớ heap được phép (out-of-bound heap write), điều này gây ra sự đứt đoạn vùng nhớ heap và dẫn đến việc thực thi các đoạn mã tùy ý.

Bạn có thể bị hack chỉ bởi một file ảnh định dạng JPEG 2000 - ảnh 1

OpenJPEG là một bộ codec mã nguồn mở JPEG 2000. Được viết trên ngôn ngữ C, phần mềm được phát triển cho việc mã hóa và giải mã các hình ảnh định dạng JPEG2000, một định dạng thường được sử dụng cho các tác vụ như nhúng file ảnh vào bên trong các tài liệu PDF, thông qua phần mềm phổ biến như PdFium và MuPDF.

Hacker có thể khai thác lỗ hổng bảo mật này bằng cách đánh lừa nạn nhân mở một file ảnh định dạng JPEG2000 đã bị nhiễm mã độc hoặc một file tài liệu PDF chứa file mã độc đó trong một email. Thậm chí hacker đó có thể tải file ảnh JPEG2000 chứa mã độc đó lên một dịch vụ lưu trữ file, như Dropbox hoặc Google Drive, và sau đó gửi đường link đó đến cho nạn nhân.

Khi tải nó xuống hệ thống, nó sẽ tạo ra một lối vào để các hacker có thể thực thi từ xa các đoạn mã độc trên hệ thống bị ảnh hưởng.

Lỗ hổng này đã được tạo ra “do một lỗi trong khi phân tích cú pháp các bản ghi mcc trên file jpeg2000 … nó sẽ dẫn đến việc đọc và ghi bị lỗi trên vùng bộ nhớ heap lân cận.” Cisco giải thích trong báo cáo của mình. “Thao tác cẩn thận với cấu trúc vùng nhớ heap và có thể dẫn đến việc thúc đẩy sự đứt đoạn bộ nhớ trong tiến trình metadata của vùng nhớ, cuối cùng điều này sẽ gây ra việc thực thi các đoạn code dưới sự điều khiển của kẻ tấn công.”

Các nhà nghiên cứu đã thử nghiệm thành công việc khai thác qua file ảnh định dạng JPEG2000 trên thư viện OpenJPEG openjp2 phiên bản 2.1.1. Lỗ hổng được phát hiện bởi Aleksandar Nikolic từ nhóm bảo mật Talos của Cisco.

Nhóm bảo mật đã thông báo về lỗ hổng zero-day này cho các nhà phát triển của OpenJPEG vào cuối tháng Bẩy vừa qua, và công ty đã đưa ra bản vá lỗi vào tuần trước với việc phát hành phiên bản 2.1.2.

Lỗ hổng này được chấm 7,5 điểm theo thang điểm CVSS, được xếp vào lỗi ở mức độ nghiêm trọng.

Theo GenK

Hot mục 24h qua

Tin game mới

Bom tấn Lineage 2: Revolution sẽ chính thức ra mắt tại Việt Nam vào tháng 7/2018

Bom tấn Lineage 2: Revolution sẽ chính thức ra mắt tại Việt Nam vào tháng 7/2018

Xuất hiện đội hình trẻ bậc nhất lịch sử LMHT Việt Nam tranh tài tại VCS mùa Hè năm 2018

Xuất hiện đội hình trẻ bậc nhất lịch sử LMHT Việt Nam tranh tài tại VCS mùa Hè năm 2018

Ngắm góc chơi game cực đẹp của nữ streamer Lê Hoàng Thảo Nguyên

Ngắm góc chơi game cực đẹp của nữ streamer Lê Hoàng Thảo Nguyên

Sau sự cố quên sạch lời trên sóng trực tiếp, Hòa Minzy nói gì?

Sau sự cố quên sạch lời trên sóng trực tiếp, Hòa Minzy nói gì?

PUBG: Thêm tính năng đổi tên, Bluehole đang cho thấy mình chiều cộng đồng game thủ như thế nào!

PUBG: Thêm tính năng đổi tên, Bluehole đang cho thấy mình chiều cộng đồng game thủ như thế nào!

Onmyoji Arena cho thử nghiệm phát hành phiên bản mà game thủ ở bất kỳ đâu trên hành tinh cũng có thể chơi được

Onmyoji Arena cho thử nghiệm phát hành phiên bản mà game thủ ở bất kỳ đâu trên hành tinh cũng có thể chơi được

Những khẩu súng bạn nên sử dụng khi chơi PUBG Mobile

Những khẩu súng bạn nên sử dụng khi chơi PUBG Mobile

Fortnite đạt 300 triệu USD trong tháng 4, chính thức dán tiếp khẳng định vị thế số 1

Fortnite đạt 300 triệu USD trong tháng 4, chính thức dán tiếp khẳng định vị thế số 1

Thiên Nhai Minh Nguyệt Đao Mobile: Lộ clip cực hịn tạo hình nhân vật đẹp lung linh sắc nét đến từng chi tiết, ngày ra mắt đang đến gần

Thiên Nhai Minh Nguyệt Đao Mobile: Lộ clip cực hịn tạo hình nhân vật đẹp lung linh sắc nét đến từng chi tiết, ngày ra mắt đang đến gần

PUBG: Fortnite nếu muốn sống ở Hàn Quốc thì hãy ngoan ngoãn trở lại, đừng có tái phạm thêm nữa

PUBG: Fortnite nếu muốn sống ở Hàn Quốc thì hãy ngoan ngoãn trở lại, đừng có tái phạm thêm nữa

Khả năng PUBG Mobile có hỗ trợ tiếng Việt 100% vẫn bỏ ngỏ, game thủ chưa lúc nào hết nuôi hi vọng về điều đó

Khả năng PUBG Mobile có hỗ trợ tiếng Việt 100% vẫn bỏ ngỏ, game thủ chưa lúc nào hết nuôi hi vọng về điều đó

Quyết tâm chơi PUBG Mobile bằng 4 ngón, game thủ Nhật max lầy khi tự chế tạo joystick để bắn và cái kết

Quyết tâm chơi PUBG Mobile bằng 4 ngón, game thủ Nhật max lầy khi tự chế tạo joystick để bắn và cái kết

Trọn bộ Lịch để bàn PUBG 12 tháng 2018 full HD cực chất, nhanh tay download ngay

Trọn bộ Lịch để bàn PUBG 12 tháng 2018 full HD cực chất, nhanh tay download ngay

Playground Fortnite: Gạ kèo solo chưa bao giờ dễ đến như vậy

Playground Fortnite: Gạ kèo solo chưa bao giờ dễ đến như vậy

Những hotgirl trong bộ cosplay Rules of Survival khiến người xem chảy nước miếng nhất

Những hotgirl trong bộ cosplay Rules of Survival khiến người xem chảy nước miếng nhất

Sự thật về PUBG Mobile và Vương Giả Vinh Diệu đang là máy in tiền cho Tencent

Sự thật về PUBG Mobile và Vương Giả Vinh Diệu đang là máy in tiền cho Tencent

GN mới nhất