banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits FeedDemon Buffer Overflow Vulnerability - Bkis  XML
  [Announcement]   FeedDemon Buffer Overflow Vulnerability - Bkis 12/02/2009 01:11:19 (+0700) | #1 | 169104
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
FeedDemon Buffer Overflow Vulnerability

Nguồn: http://security.bkis.vn/?p=329


General Information

FeedDemon is known as the most popular Windows RSS Reader which allows users to view and manage easily RSS feeds from their desktop. In January 2009, SVRT-BKIS detected a buffer overflow vulnerability in this software. Taking advantage of this flaw, hackers can perform remote attacks, install viruses, steal private information, and even take control of users’ systems. We have sent the alert to the manufacturer.



Details

SVRT Advisory


SVRT-02-09

CVE reference




Initial vendor notification


01-21-2009

Release Date


02-05-2009

Update Date


02-05-2009

Discovered by


Le Nhat Minh (SVRT-Bkis)

Security Rating


Critical

Impact


Remote Code Execution

Affected Software


FeedDemon (version <= 2.7)



Technical Description

The vulnerability was found in the processing of OPML (Outline Processor Markup Language) file, which is an XML format for outlines used by RSS reader to store and manage RSS feeds. With OPML, users can easily share their RSS feed lists with others or export these lists to use in other RSS feed readers. However, FeedDemon does not handle this format well enough, which leads to buffer overflow flaw.



More precisely, the error occurs when users import an OPML file, whose “outline” tag has a too long “text” attribute. FeedDemon, on parsing this file, will crash; and if malicious code is embedded into that file, it will be executed and give hackers system control.



Exploitation can be carried out via a file stored on victims’ computers or simply a link to such file. It is this factor that increases the threat of users’ computers being attack remotely.



Feed-Demon-Import

The feed list Import function contains a buffer overflow error

and poses a thread of remote attack if the content of website_demo has malicious code



Taking advantage of the above vulnerability, a hacker might prepare a malicious OPML file, and somehow trick users into importing it. He/she might send the file to users directly or send them a link to that file instead. Right after users have imported the file, malicious code will be executed and they will become hacker’s victims.



Solution

Rating this vulnerability high severity, and due to the fact that the manufacturer hasn’t released any official patch for it. Bkis recommends that users of FeedDemon should be careful when importing RSS feed lists from untrustworthy sources.



SVRT-Bkis

Hôm này vào milw0rm thấy có link đến bài này nên post lên.
http://milw0rm.com/exploits/7995
[Up] [Print Copy]
  [Question]   Re: FeedDemon Buffer Overflow Vulnerability - Bkis 14/02/2009 01:42:06 (+0700) | #2 | 169317
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: FeedDemon Buffer Overflow Vulnerability - Bkis 23/02/2009 12:50:59 (+0700) | #3 | 170562
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]

bolzano_1989 wrote:
Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ? 

Bạn nghĩ sao nếu một ngày nọ đẹp trời, bạn đang thong thả chat bằng Yahoo messenger, bỗng nhiên đèn modem của bạn nháy lên liên tục, tin nhắn Yahoo ập tới máy của bạn, sau vài giây, do không kịp tắt Yahoo, tuy nhiên Yahoo của bạn cũng tự tắt, cũng có thế nó báo lỗi, hoặc là không. Và có thế sao đó là bắt đầu của các triệu chứng, máy chậm, mỗi lần bật máy, lâu lâusmilie, lại thấy đèn modem nháy liên tục, cho dù khi đó bạn chẳng "xem phim" cũng như download cái gì đó.

Chuyện gì đã xảy ra?. Một giả thuyết được đưa ra là Yahoo của bạn đã bị "Tràn bộ đệm" và thế là "con trỏ lệnh" nhảy tới "chỗ mà nó không được tới", tại nơi đó, một "mã máy" nguy hiểm đang nằm chờ được kích hoạt!, sau đợt "lụt tin nhắn" Yahoo của bạn bị "buộc" phải chạy "một keyloger" chẳng hạnsmilie, và hằng ngày, hằng giờ, nó lưu lại hoạt động của bạn trên máy rồi send về cho "chủ nhân" của nó smilie

Qua câu chuyện trên ta rút ra được rằng: "lỗi tràn bộ đệm" -- một lỗi kinh điển đã được phát hiện từ lâu, vẫn hằng ngày hiện hữu trong các chương trình ta đang sử dụng, một ngày kia, kẻ xấu tìm ra nó ( hoặc có thể chỉ là áp dụng nó ), Nếu vậy, với "một thao tác nhập liệu" nguy hiểm, được kẻ xấu dàn dựng sẳn nội dung( mở một file bằng một chương trình chẳng hạn v.v. ), thì "mã máy" nguy hiểm được kích hoạt, với "quyền" của ứng dụng bị khai thác.
Hết cấp ba, ta lên cấp bố smilie
[Up] [Print Copy]
  [Question]   Re: FeedDemon Buffer Overflow Vulnerability - Bkis 23/02/2009 13:40:50 (+0700) | #4 | 170577
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

hizit91 wrote:

bolzano_1989 wrote:
Cho mình hỏi bkis nghiên cứu mấy cái lỗ hổng này làm gì vậy ? 

Bạn nghĩ sao nếu một ngày nọ đẹp trời, bạn đang thong thả chat bằng Yahoo messenger, bỗng nhiên đèn modem của bạn nháy lên liên tục, tin nhắn Yahoo ập tới máy của bạn, sau vài giây, do không kịp tắt Yahoo, tuy nhiên Yahoo của bạn cũng tự tắt, cũng có thế nó báo lỗi, hoặc là không. Và có thế sao đó là bắt đầu của các triệu chứng, máy chậm, mỗi lần bật máy, lâu lâusmilie, lại thấy đèn modem nháy liên tục, cho dù khi đó bạn chẳng "xem phim" cũng như download cái gì đó.

Chuyện gì đã xảy ra?. Một giả thuyết được đưa ra là Yahoo của bạn đã bị "Tràn bộ đệm" và thế là "con trỏ lệnh" nhảy tới "chỗ mà nó không được tới", tại nơi đó, một "mã máy" nguy hiểm đang nằm chờ được kích hoạt!, sau đợt "lụt tin nhắn" Yahoo của bạn bị "buộc" phải chạy "một keyloger" chẳng hạnsmilie, và hằng ngày, hằng giờ, nó lưu lại hoạt động của bạn trên máy rồi send về cho "chủ nhân" của nó smilie

Qua câu chuyện trên ta rút ra được rằng: "lỗi tràn bộ đệm" -- một lỗi kinh điển đã được phát hiện từ lâu, vẫn hằng ngày hiện hữu trong các chương trình ta đang sử dụng, một ngày kia, kẻ xấu tìm ra nó ( hoặc có thể chỉ là áp dụng nó ), Nếu vậy, với "một thao tác nhập liệu" nguy hiểm, được kẻ xấu dàn dựng sẳn nội dung( mở một file bằng một chương trình chẳng hạn v.v. ), thì "mã máy" nguy hiểm được kích hoạt, với "quyền" của ứng dụng bị khai thác.
 


Cảm ơn bạn đã trả lời , dù chưa hết ý của mình : .
Biết được những lỗi này thì BKIS có làm lợi cho người sử dụng giải pháp công nghệ của BKIS không nếu người dùng chỉ có phiên bản ứng dụng security mới nhất của BKIS nhưng không cập nhật phiên bản của ứng dụng chứa lỗi ( ví dụ ở đây là : FeedDemon 2.7 ...) ? Và chẳng lẽ cứ phải chạy theo từng phần mềm cụ thể như thế khi lượng phần mềm trên thế giới ra liên tục và trở nên quá nhiều như hiện nay , không có giải pháp khác sao ?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: FeedDemon Buffer Overflow Vulnerability - Bkis 23/02/2009 13:49:31 (+0700) | #5 | 170579
[Avatar]
hizit91
Member

[Minus]    0    [Plus]
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
[Profile] [PM] [Yahoo!]
hì hì,
Theo hiểu biết của tớ thì các bộ "biên dịch" mới nhất hiện này đều đã có kèm theo tuỳ chọn "chống tràn bộ đệm", điều này có ở trong bộ VS của Microsoft và cũng có trong GCC nữa smilie

Còn về phần của Bkis, cũng như các tổ chức nghiên cứu bảo mật khác, thì Bkis sẽ thông báo cho chủ nhân của phần mềm bị lỗi, bằng cách "Free" hoặc mua bán smilie, và người dùng sẽ cập nhập bản vá từ phía nhà sản xuất.

Hết cấp ba, ta lên cấp bố smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|