Các chuyên gia bảo mật vừa phát hiện một lỗ hổng bảo mật cực kỳ nguy hiểm trong bộ ứng dụng văn phòng mã nguồn mở OpenOffice. Lỗi này có thể bị tin tặc lợi dụng để đoạt được quyền từ xa thực thi mã độc trên PC sử dụng phần mềm mắc lỗi.
Phiên bản được xác định mắc lỗi là phiên bản OpenOffice 2.0.4 chạy trên nền tảng Windows, Linux hoặc Mac OS X. Phiên bản OpenOffice 2.3 ra mắt ngày 17/9 vừa qua không dính lỗi này.
Lỗi bắt nguồn từ cách thức ứng dụng xử lý tệp tin TIFF. Để có thể tấn công người dùng tin tặc cần phải lừa được người dùng mở một tệp tin TIFF độc hại. Tệp tin này có thể được giấu trong những tệp tin đính kèm theo email, liên kết trực tiếp trên web hoặc phát tán thông qua phần mềm chia sẻ tệp tin ngang hàng.
Hãng bảo mật iDefense cho biết khi tiến hành xử lý tệp tin TIFF OpenOffice thường phải tính toán lượng bộ nhớ đệm cần thiết được sử dụng. Tin tặc chỉ cần chèn thêm vào đó một vài dữ liệu độc hại là chúng đã có thể gây ra tình trạng tràn bộ nhớ đệm.
Người đồng sáng lập hãng bảo mật TrustDefender Andreas Baumhof cho biết: “Từ lỗi tràn bộ nhớ đệm, tin tặc sẽ đoạt được quyền từ xa thực thi mã độc trên hệ thống mắc lỗi. Quyền hạn mà tin tặc có được tương đương với quyền hạn mà người dùng OpenOffice đang có”.
“Tại thời điểm này chúng tôi mới xác nhận và kiểm tra được lỗi trên phiên bản OpenOffice cho Linux. Nhưng tôi chắc chắc các phiên bản cho các hệ điều hành khác đều mắc lỗi. Nguy hiểm hơn là người dùng Windows thường được chạy bằng tài khoản Administrator – tài khoản có quyền cao nhất”.
Tháng 6 vừa qua người OpenOffice cũng phải đứng trước nguy cơ bị tấn công bởi một con sâu máy tính có tên “Badbunny” tấn công cả Mac OS, Linux và Windows.
Hoàng Dũng