Cài đặt ngay bản cập nhật để sửa lỗi mã hóa end-to-end trong Matrix

[WhiteHat Team]

Nền tảng Matrix đã cảnh báo về các lỗ hổng nghiêm trọng ảnh hưởng đến mã hóa end-to-end trong bộ kit phát triển phần mềm (SDK).​

Kẻ xấu có thể khai thác những lỗ hổng này để phá vỡ lớp an ninh của các trao đổi Matrix và thực hiện tấn công MitM làm rò rỉ nội dung tin nhắn ở dạng có thể đọc.

Các lỗi ảnh hưởng đến hệ thống sử dụng matrix-js-sdk, matrix-ios-sdk, và matrix-android-sdk2 (như Element, Beeper, Cinny, SchildiChat, Circuli, và Synod.im). Còn các hệ thống triển khai hình thức mã hóa khác (như Hydrogen, ElementX, Nheko, FluffyChat, Siphon, Timmy, Gomuks, Pantalaimon) không bị ảnh hưởng.

Matrix cho biết các vấn đề đã được khắc phục và người dùng nên áp dụng các bản cập nhật cho hệ thống của mình. Việc khai thác lỗ hổng sẽ khá “khó nhằn” và chưa có dấu hiệu nào cho thấy nó đang bị khai thác trong thực tế.

Danh sách các lỗ hổng:

• CVE-2022-39250
• CVE-2022-39251
• CVE-2022-39255
• CVE-2022-39248
• CVE-2022-39249
• CVE-2022-39257
• CVE-2022-39246

2 lỗi khác vẫn chưa có mã định danh CVE. Trong đó có một lỗi cho phép máy chủ độc hại giả mạo lời mời hoặc thêm thiết bị vào tài khoản người dùng. Lỗi còn lại đề cập đến việc sử dụng AES-CTR mã hóa tệp đính kèm, bí mật và sao lưu khóa đối xứng mà không có vec-tơ khởi tạo AES.

Theo BleepingComputer​