Lỗ hổng thực thi mã từ xa ảnh hưởng đến bộ tin học văn phòng WPS Office

Mới đây, một nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã từ xa (RCE) trong WPS Office.

Được phát triển bởi Công ty Kingsoft của Trung Quốc, WPS Office là một ứng dụng tin học văn phòng quen thuộc tại Trung Quốc, một số nước châu Á và hiện đang tạo nên làn sóng ở phương Tây. WPS Office cung cấp các công cụ tương tự như Microsoft Office (Word, Excel, PowerPoint, PDF) và hỗ trợ trên nhiều hệ điều hành như Windows, macOS, Linux, iOS, Android và HarmonyOS. Theo thống kê, bộ phần mềm này có khoảng 494 triệu người dùng hàng tháng và hiện có hơn 1,2 tỷ lượt cài đặt.

Lỗ hổng ảnh hưởng đến các phiên bản WPS Office 2023 Personal Edition cũ hơn 11.1.0.15120 và từ phiên bản 2019 Enterprise Edition 11.8.2.12085 trở về trước. Nguyên nhân chính dẫn đến lỗ hổng này nằm ở thành phần WebExtension (phần bổ trợ), một công nghệ không thể thiếu trong cách thức hoạt động của các bộ ứng dụng văn phòng hiện đại. Nó cho phép các nhà phát triển bên thứ ba kết hợp các dịch vụ và tính năng độc đáo, sử dụng các công nghệ Web phổ biến như HTML, CSS và JavaScript.

Nói một cách đơn giản, WPS Office giống như một trình duyệt nhúng có thể diễn giải thẻ HTML, JavaScript và CSS.

Khi WPS không thể xử lý chính xác mã JavaScript trong quá trình chạy WebExtension sẽ khiến lỗi tràn bộ nhớ xảy ra, dẫn đến thực thi mã từ xa trong phần mềm WPS Office. Đây không phải là một lỗi mới, các lỗ hổng tương tự đã được phát hiện trong các nền tảng như Chrome và WeChat phiên bản Windows 3.1.2.141 trở về trước.

Trong thời gian chờ đợi bản vá, người dùng WPS Office có thể tự bảo vệ mình khỏi lỗ hổng này bằng cách: