FeedDemon Buffer Overflow Vulnerability - Bkis

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

FeedDemon Buffer Overflow Vulnerability - Bkis

[Announcement] FeedDemon Buffer Overflow Vulnerability - Bkis	12/02/2009 01:11:19 (+0700) \| #1 \| 169104

Look2Me
Member

Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline

FeedDemon Buffer Overflow Vulnerability

Nguồn: http://security.bkis.vn/?p=329

General Information

FeedDemon is known as the most popular Windows RSS Reader which allows users to view and manage easily RSS feeds from their desktop. In January 2009, SVRT-BKIS detected a buffer overflow vulnerability in this software. Taking advantage of this flaw, hackers can perform remote attacks, install viruses, steal private information, and even take control of users’ systems. We have sent the alert to the manufacturer.

Details

SVRT Advisory

SVRT-02-09

CVE reference

Initial vendor notification

01-21-2009

Release Date

02-05-2009

Update Date

02-05-2009

Discovered by

Le Nhat Minh (SVRT-Bkis)

Security Rating

Critical

Impact

Remote Code Execution

Affected Software

FeedDemon (version <= 2.7)

Technical Description

The vulnerability was found in the processing of OPML (Outline Processor Markup Language) file, which is an XML format for outlines used by RSS reader to store and manage RSS feeds. With OPML, users can easily share their RSS feed lists with others or export these lists to use in other RSS feed readers. However, FeedDemon does not handle this format well enough, which leads to buffer overflow flaw.

More precisely, the error occurs when users import an OPML file, whose “outline” tag has a too long “text” attribute. FeedDemon, on parsing this file, will crash; and if malicious code is embedded into that file, it will be executed and give hackers system control.

Exploitation can be carried out via a file stored on victims’ computers or simply a link to such file. It is this factor that increases the threat of users’ computers being attack remotely.

Feed-Demon-Import

The feed list Import function contains a buffer overflow error

and poses a thread of remote attack if the content of website_demo has malicious code

Taking advantage of the above vulnerability, a hacker might prepare a malicious OPML file, and somehow trick users into importing it. He/she might send the file to users directly or send them a link to that file instead. Right after users have imported the file, malicious code will be executed and they will become hacker’s victims.

Solution

Rating this vulnerability high severity, and due to the fact that the manufacturer hasn’t released any official patch for it. Bkis recommends that users of FeedDemon should be careful when importing RSS feed lists from untrustworthy sources.

SVRT-Bkis

Hôm này vào milw0rm thấy có link đến bài này nên post lên.
http://milw0rm.com/exploits/7995

[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis	14/02/2009 01:42:06 (+0700) \| #2 \| 169317

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ?

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis	23/02/2009 12:50:59 (+0700) \| #3 \| 170562

hizit91
Member

Joined: 04/01/2009 20:29:43
Messages: 133
Offline

bolzano_1989 wrote:

Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ?

Bạn nghĩ sao nếu một ngày nọ đẹp trời, bạn đang thong thả chat bằng Yahoo messenger, bỗng nhiên đèn modem của bạn nháy lên liên tục, tin nhắn Yahoo ập tới máy của bạn, sau vài giây, do không kịp tắt Yahoo, tuy nhiên Yahoo của bạn cũng tự tắt, cũng có thế nó báo lỗi, hoặc là không. Và có thế sao đó là bắt đầu của các triệu chứng, máy chậm, mỗi lần bật máy, lâu lâu smilie

, lại thấy đèn modem nháy liên tục, cho dù khi đó bạn chẳng "xem phim" cũng như download cái gì đó.

Chuyện gì đã xảy ra?. Một giả thuyết được đưa ra là Yahoo của bạn đã bị "Tràn bộ đệm" và thế là "con trỏ lệnh" nhảy tới "chỗ mà nó không được tới", tại nơi đó, một "mã máy" nguy hiểm đang nằm chờ được kích hoạt!, sau đợt "lụt tin nhắn" Yahoo của bạn bị "buộc" phải chạy "một keyloger" chẳng hạn smilie

, và hằng ngày, hằng giờ, nó lưu lại hoạt động của bạn trên máy rồi send về cho "chủ nhân" của nó smilie

Qua câu chuyện trên ta rút ra được rằng: "lỗi tràn bộ đệm" -- một lỗi kinh điển đã được phát hiện từ lâu, vẫn hằng ngày hiện hữu trong các chương trình ta đang sử dụng, một ngày kia, kẻ xấu tìm ra nó ( hoặc có thể chỉ là áp dụng nó ), Nếu vậy, với "một thao tác nhập liệu" nguy hiểm, được kẻ xấu dàn dựng sẳn nội dung( mở một file bằng một chương trình chẳng hạn v.v. ), thì "mã máy" nguy hiểm được kích hoạt, với "quyền" của ứng dụng bị khai thác.

Hết cấp ba, ta lên cấp bố smilie

[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis	23/02/2009 13:40:50 (+0700) \| #4 \| 170577

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

hizit91 wrote:

bolzano_1989 wrote:

Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ?

Bạn nghĩ sao nếu một ngày nọ đẹp trời, bạn đang thong thả chat bằng Yahoo messenger, bỗng nhiên đèn modem của bạn nháy lên liên tục, tin nhắn Yahoo ập tới máy của bạn, sau vài giây, do không kịp tắt Yahoo, tuy nhiên Yahoo của bạn cũng tự tắt, cũng có thế nó báo lỗi, hoặc là không. Và có thế sao đó là bắt đầu của các triệu chứng, máy chậm, mỗi lần bật máy, lâu lâu, lại thấy đèn modem nháy liên tục, cho dù khi đó bạn chẳng "xem phim" cũng như download cái gì đó.

Chuyện gì đã xảy ra?. Một giả thuyết được đưa ra là Yahoo của bạn đã bị "Tràn bộ đệm" và thế là "con trỏ lệnh" nhảy tới "chỗ mà nó không được tới", tại nơi đó, một "mã máy" nguy hiểm đang nằm chờ được kích hoạt!, sau đợt "lụt tin nhắn" Yahoo của bạn bị "buộc" phải chạy "một keyloger" chẳng hạn, và hằng ngày, hằng giờ, nó lưu lại hoạt động của bạn trên máy rồi send về cho "chủ nhân" của nó

Qua câu chuyện trên ta rút ra được rằng: "lỗi tràn bộ đệm" -- một lỗi kinh điển đã được phát hiện từ lâu, vẫn hằng ngày hiện hữu trong các chương trình ta đang sử dụng, một ngày kia, kẻ xấu tìm ra nó ( hoặc có thể chỉ là áp dụng nó ), Nếu vậy, với "một thao tác nhập liệu" nguy hiểm, được kẻ xấu dàn dựng sẳn nội dung( mở một file bằng một chương trình chẳng hạn v.v. ), thì "mã máy" nguy hiểm được kích hoạt, với "quyền" của ứng dụng bị khai thác.

Cảm ơn bạn đã trả lời , dù chưa hết ý của mình : .
Biết được những lỗi này thì BKIS có làm lợi cho người sử dụng giải pháp công nghệ của BKIS không nếu người dùng chỉ có phiên bản ứng dụng security mới nhất của BKIS nhưng không cập nhật phiên bản của ứng dụng chứa lỗi ( ví dụ ở đây là : FeedDemon 2.7 ...) ? Và chẳng lẽ cứ phải chạy theo từng phần mềm cụ thể như thế khi lượng phần mềm trên thế giới ra liên tục và trở nên quá nhiều như hiện nay , không có giải pháp khác sao ?

[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis	23/02/2009 13:49:31 (+0700) \| #5 \| 170579

hizit91
Member

Joined: 04/01/2009 20:29:43
Messages: 133
Offline

hì hì,
Theo hiểu biết của tớ thì các bộ "biên dịch" mới nhất hiện này đều đã có kèm theo tuỳ chọn "chống tràn bộ đệm", điều này có ở trong bộ VS của Microsoft và cũng có trong GCC nữa smilie

Còn về phần của Bkis, cũng như các tổ chức nghiên cứu bảo mật khác, thì Bkis sẽ thông báo cho chủ nhân của phần mềm bị lỗi, bằng cách "Free" hoặc mua bán smilie

, và người dùng sẽ cập nhập bản vá từ phía nhà sản xuất.

Hết cấp ba, ta lên cấp bố smilie

Go to:

Users currently in here
1 Anonymous