English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits Lỗi thực thi mã từ xa trong BKAV eOffice  XML
  [Announcement]   Lỗi thực thi mã từ xa trong BKAV eOffice 01/09/2009 22:54:54 (+0700) | #1 | 191730
mR.Bi
Member
[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Tiêu đề: Lỗi thực thi mã từ xa trong BKAV eOffice
Mức nguy hại: Nghiêm trọng
Người thông báo:
Tư vấn Trăng Xanh
Sản phẩm: eOffice v5.1.5
Đã khắc phục trong:
--
Diễn giải

eOffice -- Văn phòng điện tử là hệ thống phần mềm trao đổi thông tin, điều hành tác nghiệp và quản lý trình duyệt văn bản, hồ sơ công việc trực tuyến trên mạng máy tính.

Chúng tôi đã phát hiện một lỗi nghiêm trọng trong phần mềm eOffice. Lỗi này cho phép kẻ xấu thực thi những đoạn mã độc từ xa mà người dùng không hề hay biết.

Để tận dụng lỗi, kẻ xấu chỉ cần gửi một thư điện tử đặc biệt đến địa chỉ thư của người bị hại. Khi người dùng nhấn vào xem thư này thì mã độc sẽ tự động được thực hiện ngay lập tức. Từ đó, kẻ xấu có thể chiếm toàn quyền điều khiển máy tính của nạn nhân, hoặc thực hiện tấn công từ chối dịch vụ.

Lỗi này tồn tại trong phiên bản 5.1.5 và các phiên bản cũ. Các phiên bản mới hơn cũng có thể vẫn còn lỗi.
Giảm nguy hại

Người dùng có thể giảm thiểu nguy hại bằng cách chuyển qua sử dụng các phần mềm thư điện tử khác ví dụ như phần mềm miễn phí Thunderbird, Sylpheed, Outlook Express hoặc phần mềm Outlook trong bộ phần mềm văn phòng MS Office cho đến khi lỗi đã được khắc phục.
Khắc phục lỗi

Người dùng được khuyến khích liên hệ với nhà sản xuất eOffice trực tiếp để yêu cầu bản vá lỗi.
Quá trình thông báo

Với quá khứ tiếp nhận lỗi tiêu cực (bmsa200806.html), Tư vấn Trăng Xanh quyết định không liên lạc với nhà sản xuất mà liên lạc với cơ quan điều phối cấp quốc gia về ứng cứu sự cố Việt Nam -- VNCERT.
Liên lạc ban đầu:


Ngày 01 tháng 08 năm 2009: Gửi thư điện tử cho office@vncert.vn, vncert@mpt.gov.vn, vncert@mic.gov.vn.
Trả lời từ đơn vị điều phối:


Ngày 01 tháng 08 năm 2009: Phòng Nghiệp vụ trả lời sẽ là đầu mối phụ trách điều phối vấn đề này từ VNCERT.
Liên lạc chuyên sâu:


Ngày 02 tháng 08 năm 2009: VNCERT đề nghị Trăng Xanh chứng minh lỗi.

Ngày 02 tháng 08 năm 2009: Trăng Xanh chứng minh sự tồn tại của lỗi và quay phim lại quá trình tận dụng lỗi.

Ngày 02 tháng 08 năm 2009: Trăng Xanh gửi bản thảo cảnh báo cho VNCERT.

Ngày 07 tháng 08 năm 2009: Trăng Xanh chứng minh sự tồn tại của lỗi với VNCERT và Bộ Thông tin Truyền thông.

Ngày 09 tháng 08 năm 2009: Nguyễn Minh Đức của BKAV yêu cầu cung cấp thông tin kỹ thuật dựa theo thư mời họp khẩn cấp của VNCERT.

Ngày 10 tháng 08 năm 2009: Trăng Xanh trả lời sẽ gặp BKAV tại cuộc họp sắp diễn ra.

Ngày 10 tháng 08 năm 2009: Bộ Thông tin Truyền thông tổ chức cuộc họp khẩn cấp gồm đại diện của Bộ, VNCERT, VNISA, Trăng Xanh, và BKAV để kiểm chứng lỗi trên môi trường độc lập. BKAV đã không tham dự.

Ngày 17 tháng 08 năm 2009: Nguyễn Minh Đức đề nghị Trăng Xanh cung cấp thông tin về lỗi dựa trên tinh thần của công văn từ VNCERT.

Ngày 19 tháng 08 năm 2009: Trăng Xanh trả lời nêu rõ các lý do mà BKAV đã tự từ chối nhận thông tin kỹ thuật về lỗi, đồng thời cũng yêu cầu BKAV gửi công văn chính thức đến Trăng Xanh nếu cần sự giúp đỡ trong việc khắc phục lỗi.

Ngày 24 tháng 08 năm 2009: Nguyễn Minh Đức không trả lời bằng công văn chính thức nên đã bị bỏ qua.


Công bố cộng đồng:


Ngày 01 tháng 09 năm 2009
Mã tận dụng:

Không được công bố

http://bluemoon.com.vn/advisories/bmsa200906.html
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|