[Announcement] FeedDemon Buffer Overflow Vulnerability - Bkis |
12/02/2009 01:11:19 (+0700) | #1 | 169104 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
FeedDemon Buffer Overflow Vulnerability
Nguồn: http://security.bkis.vn/?p=329
General Information
FeedDemon is known as the most popular Windows RSS Reader which allows users to view and manage easily RSS feeds from their desktop. In January 2009, SVRT-BKIS detected a buffer overflow vulnerability in this software. Taking advantage of this flaw, hackers can perform remote attacks, install viruses, steal private information, and even take control of users’ systems. We have sent the alert to the manufacturer.
Details
SVRT Advisory
SVRT-02-09
CVE reference
Initial vendor notification
01-21-2009
Release Date
02-05-2009
Update Date
02-05-2009
Discovered by
Le Nhat Minh (SVRT-Bkis)
Security Rating
Critical
Impact
Remote Code Execution
Affected Software
FeedDemon (version <= 2.7)
Technical Description
The vulnerability was found in the processing of OPML (Outline Processor Markup Language) file, which is an XML format for outlines used by RSS reader to store and manage RSS feeds. With OPML, users can easily share their RSS feed lists with others or export these lists to use in other RSS feed readers. However, FeedDemon does not handle this format well enough, which leads to buffer overflow flaw.
More precisely, the error occurs when users import an OPML file, whose “outline” tag has a too long “text” attribute. FeedDemon, on parsing this file, will crash; and if malicious code is embedded into that file, it will be executed and give hackers system control.
Exploitation can be carried out via a file stored on victims’ computers or simply a link to such file. It is this factor that increases the threat of users’ computers being attack remotely.
Feed-Demon-Import
The feed list Import function contains a buffer overflow error
and poses a thread of remote attack if the content of website_demo has malicious code
Taking advantage of the above vulnerability, a hacker might prepare a malicious OPML file, and somehow trick users into importing it. He/she might send the file to users directly or send them a link to that file instead. Right after users have imported the file, malicious code will be executed and they will become hacker’s victims.
Solution
Rating this vulnerability high severity, and due to the fact that the manufacturer hasn’t released any official patch for it. Bkis recommends that users of FeedDemon should be careful when importing RSS feed lists from untrustworthy sources.
SVRT-Bkis
Hôm này vào milw0rm thấy có link đến bài này nên post lên.
http://milw0rm.com/exploits/7995 |
|
|
|
|
[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis |
14/02/2009 01:42:06 (+0700) | #2 | 169317 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ? |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis |
23/02/2009 12:50:59 (+0700) | #3 | 170562 |
|
hizit91
Member
|
0 |
|
|
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
|
|
bolzano_1989 wrote:
Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ?
Bạn nghĩ sao nếu một ngày nọ đẹp trời, bạn đang thong thả chat bằng Yahoo messenger, bỗng nhiên đèn modem của bạn nháy lên liên tục, tin nhắn Yahoo ập tới máy của bạn, sau vài giây, do không kịp tắt Yahoo, tuy nhiên Yahoo của bạn cũng tự tắt, cũng có thế nó báo lỗi, hoặc là không. Và có thế sao đó là bắt đầu của các triệu chứng, máy chậm, mỗi lần bật máy, lâu lâu, lại thấy đèn modem nháy liên tục, cho dù khi đó bạn chẳng "xem phim" cũng như download cái gì đó.
Chuyện gì đã xảy ra?. Một giả thuyết được đưa ra là Yahoo của bạn đã bị "Tràn bộ đệm" và thế là "con trỏ lệnh" nhảy tới "chỗ mà nó không được tới", tại nơi đó, một "mã máy" nguy hiểm đang nằm chờ được kích hoạt!, sau đợt "lụt tin nhắn" Yahoo của bạn bị "buộc" phải chạy "một keyloger" chẳng hạn, và hằng ngày, hằng giờ, nó lưu lại hoạt động của bạn trên máy rồi send về cho "chủ nhân" của nó
Qua câu chuyện trên ta rút ra được rằng: "lỗi tràn bộ đệm" -- một lỗi kinh điển đã được phát hiện từ lâu, vẫn hằng ngày hiện hữu trong các chương trình ta đang sử dụng, một ngày kia, kẻ xấu tìm ra nó ( hoặc có thể chỉ là áp dụng nó ), Nếu vậy, với "một thao tác nhập liệu" nguy hiểm, được kẻ xấu dàn dựng sẳn nội dung( mở một file bằng một chương trình chẳng hạn v.v. ), thì "mã máy" nguy hiểm được kích hoạt, với "quyền" của ứng dụng bị khai thác.
|
|
Hết cấp ba, ta lên cấp bố |
|
|
|
[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis |
23/02/2009 13:40:50 (+0700) | #4 | 170577 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
hizit91 wrote:
bolzano_1989 wrote:
Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ?
Bạn nghĩ sao nếu một ngày nọ đẹp trời, bạn đang thong thả chat bằng Yahoo messenger, bỗng nhiên đèn modem của bạn nháy lên liên tục, tin nhắn Yahoo ập tới máy của bạn, sau vài giây, do không kịp tắt Yahoo, tuy nhiên Yahoo của bạn cũng tự tắt, cũng có thế nó báo lỗi, hoặc là không. Và có thế sao đó là bắt đầu của các triệu chứng, máy chậm, mỗi lần bật máy, lâu lâu, lại thấy đèn modem nháy liên tục, cho dù khi đó bạn chẳng "xem phim" cũng như download cái gì đó.
Chuyện gì đã xảy ra?. Một giả thuyết được đưa ra là Yahoo của bạn đã bị "Tràn bộ đệm" và thế là "con trỏ lệnh" nhảy tới "chỗ mà nó không được tới", tại nơi đó, một "mã máy" nguy hiểm đang nằm chờ được kích hoạt!, sau đợt "lụt tin nhắn" Yahoo của bạn bị "buộc" phải chạy "một keyloger" chẳng hạn, và hằng ngày, hằng giờ, nó lưu lại hoạt động của bạn trên máy rồi send về cho "chủ nhân" của nó
Qua câu chuyện trên ta rút ra được rằng: "lỗi tràn bộ đệm" -- một lỗi kinh điển đã được phát hiện từ lâu, vẫn hằng ngày hiện hữu trong các chương trình ta đang sử dụng, một ngày kia, kẻ xấu tìm ra nó ( hoặc có thể chỉ là áp dụng nó ), Nếu vậy, với "một thao tác nhập liệu" nguy hiểm, được kẻ xấu dàn dựng sẳn nội dung( mở một file bằng một chương trình chẳng hạn v.v. ), thì "mã máy" nguy hiểm được kích hoạt, với "quyền" của ứng dụng bị khai thác.
Cảm ơn bạn đã trả lời , dù chưa hết ý của mình : .
Biết được những lỗi này thì BKIS có làm lợi cho người sử dụng giải pháp công nghệ của BKIS không nếu người dùng chỉ có phiên bản ứng dụng security mới nhất của BKIS nhưng không cập nhật phiên bản của ứng dụng chứa lỗi ( ví dụ ở đây là : FeedDemon 2.7 ...) ? Và chẳng lẽ cứ phải chạy theo từng phần mềm cụ thể như thế khi lượng phần mềm trên thế giới ra liên tục và trở nên quá nhiều như hiện nay , không có giải pháp khác sao ? |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: FeedDemon Buffer Overflow Vulnerability - Bkis |
23/02/2009 13:49:31 (+0700) | #5 | 170579 |
|
hizit91
Member
|
0 |
|
|
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
|
|
hì hì,
Theo hiểu biết của tớ thì các bộ "biên dịch" mới nhất hiện này đều đã có kèm theo tuỳ chọn "chống tràn bộ đệm", điều này có ở trong bộ VS của Microsoft và cũng có trong GCC nữa
Còn về phần của Bkis, cũng như các tổ chức nghiên cứu bảo mật khác, thì Bkis sẽ thông báo cho chủ nhân của phần mềm bị lỗi, bằng cách "Free" hoặc mua bán , và người dùng sẽ cập nhập bản vá từ phía nhà sản xuất.
|
|
Hết cấp ba, ta lên cấp bố |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|