Ngày 1/9/2009, công ty bảo mật Tư vấn Trăng Xanh đã công bố một lỗi bảo mật nghiêm trọng trong phần mềm văn phòng điện tử (eOffice) do công ty TNHH BKAV phát hành. Lợi dụng lỗi nguy hiểm này, kẻ tấn công có thể thực thi mã lệnh độc hại bất kỳ, chiềm quyền điểu khiển máy tính, cài phần mềm theo dõi.

http://ms.thongtincongnghe.com/upload/med/0909/7/img-1252331143-1.jpg
Họp báo giới thiệu eOffice Enterprise.

Kẻ tấn công cũng có thể tấn công từ chối dịch vụ, làm ảnh hưởng xấu đến hiệu quả làm việc mà đáng lẽ văn phòng điện tử ra đời để giải quyết.

Ngoài ra, vì phạm vi triển khai của văn phòng điện tử có ảnh hưởng đến các cơ quan Nhà nước đầu não (theo thông tin đăng trên trang mạng của nhà sản xuất) nên mức độ nguy hiểm của bất kỳ một lỗi nào trong văn phòng điện tử đều là nghiêm trọng, ảnh hưởng trực tiếp đến nền an ninh quốc gia.

Nhận thức rõ vấn đề trên, công tác bảo vệ người dùng cuối đã được Tư vấn Trăng Xanh phối hợp thực hiện chặt chẽ cùng với Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin Truyền thông.

Cho đến nay Tư vấn Trăng Xanh vẫn chưa có tin tức về bản vá lỗi. Người sử dụng eOffice được khuyến khích liên hệ trực tiếp đơn vị phát hành phần mềm này để yêu cầu có bản sửa lỗi, hoặc tạm ngưng sử dụng eOffice ngay lập tức. Thay vào đó có thể sử dụng các sản phẩm tương tự như Mozilla Thunderbird, Microsoft Outlook Express, hoặc Microsoft Outlook.

BKAV lại nổi tiếng khắp TG :D

haha... tự nhiên thấy vui trong lòng :)

Sorry bác Quảng nhé, nhưng thấy người ta thông báo lỗi mà còn không ra bản vá lỗi thì thua!

Have Fun!

haha... tự nhiên thấy vui trong lòng :)

Sorry bác Quảng nhé, nhưng thấy người ta thông báo lỗi mà còn không ra bản vá lỗi thì thua!

Have Fun!

Của bác ấy thì phải tốt nhất, chuẩn nhất, hiệu quả nhất, sao mà có lỗi được, vậy nên ... không thèm để ý, không thích vá lỗi ...

Cho đến nay Tư vấn Trăng Xanh vẫn chưa có tin tức về bản vá lỗi. Người sử dụng eOffice được khuyến khích liên hệ trực tiếp đơn vị phát hành phần mềm này để yêu cầu có bản sửa lỗi, hoặc tạm ngưng sử dụng eOffice ngay lập tức. Thay vào đó có thể sử dụng các sản phẩm tương tự như Mozilla Thunderbird, Microsoft Outlook Express, hoặc Microsoft Outlook.


Sao lại nói "Thay vào đó có thể sử dụng các sản phẩm tương tự như Mozilla Thunderbird, Microsoft Outlook Express, hoặc Microsoft Outlook."

Các Phần mềm trên đâu phải có tính năng tương tự eOFFICE đâu, mời tác giả kiểm tra lại chính xác thông tin trước khi đăng tải.

Đến Microsoft mà còn dính lỗi đầy thì bác Quảng nhà ta dính đã nhằm nhò gì :rolleyes:

Lỗi bảo mật nghiêm trọng của BKAV eOffice

Ngày 1/9/2009, công ty bảo mật Tư vấn Trăng Xanh đã công bố một lỗi bảo mật nghiêm trọng trong phần mềm văn phòng điện tử (eOffice) do công ty TNHH BKAV phát hành.
Lợi dụng lỗi nguy hiểm này, kẻ tấn công có thể thực thi mã lệnh độc hại bất kỳ, chiếm quyền điểu khiển máy tính, cài phần mềm theo dõi.
Họp báo giới thiệu eOffice Enterprise.
Kẻ tấn công cũng có thể tấn công từ chối dịch vụ, làm ảnh hưởng xấu đến hiệu quả làm việc mà đáng lẽ văn phòng điện tử ra đời để giải quyết.
Ngoài ra, vì phạm vi triển khai của văn phòng điện tử có ảnh hưởng đến các cơ quan Nhà nước đầu não (theo thông tin đăng trên trang mạng của nhà sản xuất) nên mức độ nguy hiểm của bất kỳ một lỗi nào trong văn phòng điện tử đều là nghiêm trọng, ảnh hưởng trực tiếp đến nền an ninh quốc gia.
Nhận thức rõ vấn đề trên, công tác bảo vệ người dùng cuối đã được Tư vấn Trăng Xanh phối hợp thực hiện chặt chẽ cùng với Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin Truyền thông.
Cho đến nay Tư vấn Trăng Xanh vẫn chưa có tin tức về bản vá lỗi.
Người sử dụng eOffice được khuyến khích liên hệ trực tiếp đơn vị phát hành phần mềm này để yêu cầu có bản sửa lỗi, hoặc tạm ngưng sử dụng eOffice ngay lập tức.
Thay vào đó có thể sử dụng các sản phẩm tương tự như Mozilla Thunderbird, Microsoft Outlook Express, hoặc Microsoft Outlook.

Theo Trăng Xanh.
http://www.thongtincongnghe.com/article/12350
------------------

Còn đây là sự "bất hợp tác" không được mấy thân thiện của 1 doanh nghiệp BKAV mà đã và đang được các quan chức VN cho là "tầm cỡ" trong CNTT tại VN, trong vấn đề trên:


CẢNH BÁO AN NINH TRĂNG XANH 2009-06

Tiêu đề: Lỗi thực thi mã từ xa trong BKAV eOffice
Mức nguy hại: Nghiêm trọng
Người thông báo: Tư vấn Trăng Xanh
Sản phẩm: eOffice v5.1.5
----------------

Diễn giải :

eOffice -- Văn phòng điện tử là hệ thống phần mềm trao đổi thông tin, điều hành tác nghiệp và quản lý trình duyệt văn bản, hồ sơ công việc trực tuyến trên mạng máy tính.

Chúng tôi đã phát hiện một lỗi nghiêm trọng trong phần mềm eOffice. Lỗi này cho phép kẻ xấu thực thi những đoạn mã độc từ xa mà người dùng không hề hay biết.

Để tận dụng lỗi, kẻ xấu chỉ cần gửi một thư điện tử đặc biệt đến địa chỉ thư của người bị hại. Khi người dùng nhấn vào xem thư này thì mã độc sẽ tự động được thực hiện ngay lập tức. Từ đó, kẻ xấu có thể chiếm toàn quyền điều khiển máy tính của nạn nhân, hoặc thực hiện tấn công từ chối dịch vụ.

Lỗi này tồn tại trong phiên bản 5.1.5 và các phiên bản cũ. Các phiên bản mới hơn cũng có thể vẫn còn lỗi.
Giảm nguy hại

Người dùng có thể giảm thiểu nguy hại bằng cách chuyển qua sử dụng các phần mềm thư điện tử khác ví dụ như phần mềm miễn phí Thunderbird, Sylpheed, Outlook Express hoặc phần mềm Outlook trong bộ phần mềm văn phòng MS Office cho đến khi lỗi đã được khắc phục.
Khắc phục lỗi

Người dùng được khuyến khích liên hệ với nhà sản xuất eOffice trực tiếp để yêu cầu bản vá lỗi.
Quá trình thông báo

Với quá khứ tiếp nhận lỗi tiêu cực (bmsa200806.html), Tư vấn Trăng Xanh quyết định không liên lạc với nhà sản xuất mà liên lạc với cơ quan điều phối cấp quốc gia về ứng cứu sự cố Việt Nam -- VNCERT.

Liên lạc ban đầu:

Ngày 01 tháng 08 năm 2009: Gửi thư điện tử cho office@vncert.vn, vncert@mpt.gov.vn, vncert@mic.gov.vn.
Trả lời từ đơn vị điều phối:

Ngày 01 tháng 08 năm 2009: Phòng Nghiệp vụ trả lời sẽ là đầu mối phụ trách điều phối vấn đề này từ VNCERT.
Liên lạc chuyên sâu:

Ngày 02 tháng 08 năm 2009: VNCERT đề nghị Trăng Xanh chứng minh lỗi.

Ngày 02 tháng 08 năm 2009: Trăng Xanh chứng minh sự tồn tại của lỗi và quay phim lại quá trình tận dụng lỗi.

Ngày 02 tháng 08 năm 2009: Trăng Xanh gửi bản thảo cảnh báo cho VNCERT.

Ngày 07 tháng 08 năm 2009: Trăng Xanh chứng minh sự tồn tại của lỗi với VNCERT và Bộ Thông tin Truyền thông.

Ngày 09 tháng 08 năm 2009: Nguyễn Minh Đức của BKAV yêu cầu cung cấp thông tin kỹ thuật dựa theo thư mời họp khẩn cấp của VNCERT.

Ngày 10 tháng 08 năm 2009: Trăng Xanh trả lời sẽ gặp BKAV tại cuộc họp sắp diễn ra.

Ngày 10 tháng 08 năm 2009: Bộ Thông tin Truyền thông tổ chức cuộc họp khẩn cấp gồm đại diện của Bộ, VNCERT, VNISA, Trăng Xanh, và BKAV để kiểm chứng lỗi trên môi trường độc lập. BKAV đã không tham dự.

Ngày 17 tháng 08 năm 2009: Nguyễn Minh Đức đề nghị Trăng Xanh cung cấp thông tin về lỗi dựa trên tinh thần của công văn từ VNCERT.

Ngày 19 tháng 08 năm 2009: Trăng Xanh trả lời nêu rõ các lý do mà BKAV đã tự từ chối nhận thông tin kỹ thuật về lỗi, đồng thời cũng yêu cầu BKAV gửi công văn chính thức đến Trăng Xanh nếu cần sự giúp đỡ trong việc khắc phục lỗi.

Ngày 24 tháng 08 năm 2009: Nguyễn Minh Đức không trả lời bằng công văn chính thức nên đã bị bỏ qua.

Công bố cộng đồng:
Ngày 01 tháng 09 năm 2009

Mã tận dụng:
Không được công bố
Miễn trách nhiệm

Thông tin được cung cấp trong cảnh báo an ninh này được cung cấp "chỉ như vậy" mà không có bất kỳ một đảm bảo nào. Công ty TNHH Tư vấn Trăng Xanh không nhận bất kỳ trách nhiệm gì, cho dù là được nói rõ hoặc ngụ ý, bao gồm trách nhiệm về tính phù hợp và khả năng thương mại cho bất kỳ mục đích nào. Việc sử dụng thông tin trong cảnh báo này, hoặc các tài liệu được liên kết đến từ cảnh báo này là hoàn toàn phụ thuộc vào người dùng. Công ty TNHH Tư vấn Trăng Xanh giữ quyền thay đổi hoặc cập nhật thông báo này vào bất kỳ thời điểm nào.

http://bluemoon.com.vn/advisories/bmsa200906.html


http://www.hvaonline.net/hvaonline/posts/list/31073.hva
--------------------------
Đọc qua các quá trình liên hệ thông báo lỗi của bên Trăng Xanh cho bên BKAV thì thấy quả là BKAV thật là quá tắc trách,"thiếu tinh thần thách nhiệm",nếu không dám nói là vô trách nhiệm quá đối với những người đã lở sử dụng sản phẩm này của họ!

Trong khi đó thì họ lại lập hẳn 1 "đội đặc nhiệm BKAV" để bò ra mất 2 ngày 2 đêm không ngủ cày không công khi tham gia cái gọi là "đơn vị đầu tiên hack server của nước ngoài để tìm ra (lộn chuồng) nơi xuất xứ tấn công các trang web Mỹ Hàn

Bài viết dài quá nên không đọc, Bkav là gì vậy? có thể giải thích ngắn gọn giúp mình được không?.

BKAV là..

http://i680.photobucket.com/albums/vv169/denkoduong/bk1s/time-bomb-copy.jpg

Em chỉ thấy là Trăng xanh j đó bất hợp tác thôi, người ta có lỗi thì báo cho người ta, ông lại đi báo VN Cert làm j. Anh MS đó, mỗi tháng ra vài lỗi Critical, chả nhẽ VN cert cũng họp báo hết à: "Vì MS có lỗi nghiêm trọng, trong khi các cơ quan chính phủ hầu hết đều dùng windows, Người sử dụng Windows được khuyến khích liên hệ trực tiếp đơn vị phát hành phần mềm này để yêu cầu có bản sửa lỗi, hoặc tạm ngưng sử dụng Windows ngay lập tức."
Em thấy buồn cho CNTT VN, cạnh tranh để phát triển chứ cứ làm mấy trò mèo thế này thì có tác dụng j nhỉ?

hay đấy nhỉ đúng là bkav là TNT màu vàng ha ha giống thật

Sắp có bão đến nơi rồi. Anh em tìm chỗ ẩn nấp ngay. Khổ thân SuperBoom quả này anh lại bị bà con bê lên rồi đặt xuống.

Ngày 1/9/2009, công ty bảo mật Tư vấn Trăng Xanh đã công bố một lỗi bảo mật nghiêm trọng trong phần mềm văn phòng điện tử (eOffice) do công ty TNHH BKAV phát hành. Lợi dụng lỗi nguy hiểm này, kẻ tấn công có thể thực thi mã lệnh độc hại bất kỳ, chiềm quyền điểu khiển máy tính, cài phần mềm theo dõi.


http://ms.thongtincongnghe.com/upload/med/0909/7/img-1252331143-1.jpg

Kẻ tấn công cũng có thể tấn công từ chối dịch vụ, làm ảnh hưởng xấu đến hiệu quả làm việc mà đáng lẽ văn phòng điện tử ra đời để giải quyết.

Ngoài ra, vì phạm vi triển khai của văn phòng điện tử có ảnh hưởng đến các cơ quan Nhà nước đầu não (theo thông tin đăng trên trang mạng của nhà sản xuất) nên mức độ nguy hiểm của bất kỳ một lỗi nào trong văn phòng điện tử đều là nghiêm trọng, ảnh hưởng trực tiếp đến nền an ninh quốc gia.

Nhận thức rõ vấn đề trên, công tác bảo vệ người dùng cuối đã được Tư vấn Trăng Xanh phối hợp thực hiện chặt chẽ cùng với Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin Truyền thông.

Cho đến nay Tư vấn Trăng Xanh vẫn chưa có tin tức về bản vá lỗi. Người sử dụng eOffice được khuyến khích liên hệ trực tiếp đơn vị phát hành phần mềm này để yêu cầu có bản sửa lỗi, hoặc tạm ngưng sử dụng eOffice ngay lập tức. Thay vào đó có thể sử dụng các sản phẩm tương tự như Mozilla Thunderbird, Microsoft Outlook Express, hoặc Microsoft Outlook.

Theo Trăng Xanh.

Link: http://www.thongtincongnghe.com/article/12350

Bình loạn: Đơn vị "Security Hàng Đầu VN - Bê-Kít" bị 1 Đơn vị Security khác (Mà em chưa nghe tên đơn vị này lần nào) tìm ra lỗi bảo mật, zui nhỉ :D Mời anh chị em bình loạn :D

Thay vào đó có thể sử dụng các sản phẩm tương tự như Mozilla Thunderbird, Microsoft Outlook Express, hoặc Microsoft Outlook

Sao các bác nhà nước không dùng sản phẩm tương tự mà đi mua eOffice của bác Quảng về xài nhẩy? Chắc tiếng Việt hả?

Các bác cứ hay nói xấu cho người ta, Người ta qua tận meo để trình diễn cách hack vào máy tính dùng kỹ thuật nhận dạng khuôn mặt, rồi phát hiện ra bọn tấn công DDOS vào Hàn và Mỹ mà đến cả thế giới còn chưa tìm ra, rồi phần mềm diệt virus của họ được cài đặt trên 90% máy tính tại Việt Nam....

Đúng là "Vỏ quýt dày có móng tay nhọn". :) Nếu BKAV không thèm để tâm đến cái lỗi này thì đúng là quá vô trách nhiệm, chắc sớm bị tẩy chay à. :D

Nhìn cái hình mặt trăng thấy mà tội nghiệp.
Phen này các bác ở trên đang bị thọt đau với lỗi bảo mật này rồi.

Đúng là "Vỏ quýt dày có móng tay nhọn". :) Nếu BKAV không thèm để tâm đến cái lỗi này thì đúng là quá vô trách nhiệm, chắc sớm bị tẩy chay à. :D

em tẩy chay rồi nè :punk:

Hè hè, em đoán là sẽ có vài cái nick mới vào "tranh lựng" nữa đây...

các bác cần gì tẩy chay, mấy cái phần mền của Bkav đâu có bao nhiêu người sài đâu, mà sợ hack cái gì không biết nữa.

Bài dài quá. Đọc mãi ko hết. Nhưng mình nghĩ là nếu các công ty phần mềm của VN mà cứ đấu đá nhau mãi thế này thì còn xơi mới phát triển được. Mình còn yếu thì phải đoàn kết chứ