1. Thông tin chung

FeedDemon là một phần mềm đọc tin theo chuẩn RSS (Really Simple Syndication) khá phổ biến, giúp người dùng dễ dàng tiếp cận với nhiều nguồn tin một cách đơn giản và tiện lợi. Trong tháng 01-2009, nhóm nghiên cứu lỗ hổng an ninh của Bkis đã phát hiện lỗi tràn bộ đệm nghiêm trọng tồn tại trong phần mềm này. Lợi dụng các lỗ hổng đó, Hacker có thể thực hiện tấn công từ xa, cài đặt virus, ăn cắp thông tin cá nhân, thậm chí chiếm quyền điều khiển hệ thống của người dùng.

2. Mô tả kỹ thuật

Lỗ hổng được phát hiện nằm trong quá trình xử lý file OPML (Outline Processor Markup Language). Đây là một file chuẩn XML được các phần mềm đọc tin RSS dùng để lưu và thao tác với danh sách các nguồn tin RSS. Với định dạng file này, người dùng có thể dễ dàng trao đổi các danh sách nguồn tin với nhau và giữa các phần mềm đọc tin khác nhau. Tuy nhiên, việc xử lý định dạng file OPML của FeedDemon là không tốt, dẫn đến tràn bộ đệm nghiêm trọng.

Cụ thể, lỗi xảy ra khi người dùng import một file OPML với thuộc tính text trong thẻ outline có độ dài quá lớn. Feed Demon khi đọc định dạng của file này sẽ bị đổ vỡ (crash), và nếu mã độc được gắn kèm trong file khai thác thì nó sẽ thực thi và chiếm quyền điều khiển máy tính.

File khai thác lỗ hổng này có thể nằm trên máy nạn nhân hoặc đơn giản chỉ là một link liên kết tới file đó. Đây là yếu tố làm tăng nguy cơ máy tính người dùng bị tấn công từ xa.

Lợi dụng lỗ hổng trên, Hacker chuẩn bị một file OPML chứa mã độc, và bằng cách nào đó lừa người dùng import file này, có thể gửi file trực tiếp cho người dùng hoặc liên kết của file đó trên mạng. Ngay khi người dùng import file này, mã độc sẽ thực thi trên máy.

3. Cập nhật bản vá

Đánh giá đây là lỗ hổng có mức nguy hiểm cao và nhà sản xuất cũng chưa có bản vá chính thức cho lỗ hổng này, Trung tâm An ninh mạng Bkis khuyến cáo người sử dụng FeedDemon nên cẩn thận đối với việc Import các nguồn tin không tin cậy.

4. Credit

Cảm ơn bạn Lê Nhật Minh đã làm việc với chúng tôi trong quá trình phát hiện và cảnh báo lỗ hổng này.