Một nhà nghiên cứu đã tiết lộ lỗ hổng nghiêm trọng có thể dẫn đến Thực thi mã từ xa (RCE) trên WPS Office hôm 11/8.
Được phát triển bởi Kingsoft của Trung Quốc, WPS Office là phần mềm quen thuộc ở Trung Quốc và một phần châu Á, hiện cũng đang mở rộng ra phương Tây. WPS Office cung cấp một gói hoàn chỉnh bao gồm trình xử lý văn bản, công cụ bảng tính, phần mềm trình bày và trình đọc PDF. Đây là giải pháp thay thế mã nguồn mở và miễn phí cho Microsoft Office, có sẵn cho Windows, macOS, Linux, iOS, Android và HarmonyOS.
WPS Office hiện có hơn 494 triệu người dùng hoạt động hàng tháng và hơn 1,2 tỷ lượt cài đặt tính đến năm 2022.
Lỗ hổng phát hiện ảnh hưởng đến các phiên bản WPS Office 2023 Personal Edition < 11.1.0.15120 và 2019 Enterprise Edition < 11.8.2.12085. Vấn đề bắt nguồn từ việc WPS không thể xử lý chính xác mã JavaScript trong quá trình xử lý WebExtension. Điều này dẫn đến tràn bộ nhớ, từ đó thực thi mã từ xa. Đây không phải là một lỗi mới đối với giới công nghệ. Các lỗ hổng tương tự đã được phát hiện trước đây trong các nền tảng như Chrome và WeChat Phiên bản Windows < 3.1.2.141.
Người dùng nên lưu ý:
- Không mở các tài liệu đáng ngờ từ các nguồn không xác định.
- Luôn cập nhật phần mềm chống virus.
- Sử dụng tường lửa để bảo vệ máy tính khỏi truy cập trái phép.
- Thận trọng với những trang web bạn truy cập và những liên kết bạn click vào.
Nguồn: Security Online