La
suite ofimática de código abierto LibreOffice
se ha actualizado
recientemente para corregir una vulnerabilidad que podría permitir a un
atacante lograr la ejecución remota de
código.
LibreOffice es una suite
ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de
cálculo (Calc), procesador de textos (Writer), bases de datos (Base),
presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de
fórmulas matemáticas (Math).
El problema, con CVE-2016-4324, ha sido descubierto
por el equipo de investigadores de Cisco Talos. Reside en un uso de memoria después
de liberarla en el tratamiento de documentos RTF (Rich Text Format) que contengan
tanto hojas de estilo como elementos superíndice. Un documento RTF específicamente
diseñado que contenga tanto una hoja de estilo y un elemento superíndice puede provocar
que LibreOffice acceda a un puntero no válido que haga referencia a memoria previamente
utilizada en el heap. Una manipulación cuidadosa del heap podría permitir la ejecución
de código arbitrario. Evidentemente se requiere la interacción del usuario atacado
para abrir el archivo.
Para corregir esta vulnerabilidad
se ha publicado LibreOffice 5.2.0 y 5.1.4 que se encuentran disponibles para su
descarga desde la página oficial:
Más información:
CVE-2016-4324 Dereference of invalid STL
iterator on processing RTF file
Vulnerability Spotlight: LibreOffice RTF
Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario