Las
suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han
actualizado recientemente para corregir diferentes vulnerabilidades, que
podrían permitir a un atacante obtener
información sensible o lograr la ejecución remota de código.
Apache OpenOffice y LibreOffice
son suites ofimáticas de código abierto y gratuitas. Ambas cuentan con
aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases
de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y
creación y edición de fórmulas matemáticas (Math).
El primero de los problemas, con CVE-2015-4551,
podría permitir a un atacante crear
un documento (Writer o Calc) específicamente
diseñado de forma que cuando se cargue por el usuario atacado, dará lugar a
un error que permitirá insertar, a través de enlaces, documentos de forma
invisible. De esta forma, si el usuario graba y devuelve el documento el
atacante podrá obtener información sensible del usuario.
Otros fallos residen en un subdesbordamiento
de entero en el tratamiento
de archivos ODF (CVE-2015-5212)
y un desbordamiento
de entero en archivos DOC
(CVE-2015-5213).
Por último, una corrupción
de memoria en el tratamiento
de marcadores de archivos DOC (CVE-2015-5214).
Estas vulnerabilidades podrían permitir
a un atacante la ejecución de código arbitrario.
Para corregir estas
vulnerabilidades, se han publicado
Apache OpenOffice 4.1.2, y LibreOffice 4.4.6 y 5.0.0 que se encuentran
disponibles para su descarga desde las páginas oficiales:
Más información:
CVE-2015-4551
Arbitrary file disclosure in Calc and Writer
CVE-2015-4551:
Targeted data disclosure
CVE-2015-5212
ODF Integer Underflow (PrinterSetup Length)
CVE-2015-5212: ODF printer settings vulnerability
CVE-2015-5213
DOC piecetable Integer Overflow
CVE-2015-5213: .DOC Document vulnerability
CVE-2015-5214
DOC Bookmark Status Memory Corruption
CVE-2015-5214:
.DOC Bookmarks vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario