November 24, 2024

พบช่องโหว่ในซอฟต์แวร์เว็บเมล Horde ที่ไม่เคยโดนแพ็ตช์มาก่อนเลยถึง 9 ปี

ผู้ใช้ Horde Webmail ต่างได้รับการแจ้งให้ปิดฟีเจอร์ที่มีช่องโหว่ด้านความปลอดภัยที่ยังไม่มีแพ็ตช์ออกมาแก้ไข ที่เปิดมานานกว่า 9 ปี ซึ่งเป็นช่องโหว่ที่เปิดให้เข้าถึงบัญชีอีเมลของเป้าหมายได้อย่างสมบูรณ์เพียงแค่เปิดพรีวิวดูไฟล์แนบ โดยทางนักวิจัยด้านช่องโหว่ของ SonarSource นาย Simon Scannell ระบุไว้ในรายงานว่า

บั๊กนี้ทำให้ผู้โจมตีเข้าถึงข้อมูลความลับทุกอย่างที่เหยื่อเก็บไว้ในบัญชีอีเมลของตัวเอง ไปจนถึงใช้เป็นเครื่องมือเข้าถึงบริการต่างๆ ภายในองค์กรของเหยื่อต่อไปได้ด้วย ทั้งนี้ตัวผลิตภัณฑ์ของ Horde Project เปิดให้ทุกคนใช้ฟรีด้วยการพัฒนาจากอาสาสมัคร

ซึ่งตัว Horde Webmail นี้เป็นระบบสื่อสารที่ทำงานผ่านบราวเซอร์ ผู้ใช้สามารถอ่าน ส่ง และจัดการข้อความอีเมลได้ รวมทั้งแบ่งปันข้อมูลปฏิทิน รายชื่อผู้ติดต่อ รายการงาน โน้ตย่อ และบุ๊กมาร์กได้ สำหรับช่องโหว่นี้มาพร้อมกับการปรับโค้ดเมื่อวันที่ 30 พฤศจิกายน 2012

ซึ่งเกี่ยวข้องกับกรณีช่องโหว่แบบ Cross-Site Scripting แบบ Stored (หรือที่เรียกว่า Persistent XSS) ที่ “ผิดปกติ” ซึ่งปล่อยให้เอกสาร OpenOffice ที่ออกแบบมาเป็นพิเศษนั้นสามารถรันข้อมูลจาวาสคริปต์ภายในเมื่อถูกเปิดพรีวิว แม้จะไม่ได้โหลดมาเปิดไฟล์จริงๆ ก็ตาม

อ่านเพิ่มเติมที่นี่ – THN