lunes, 17 de octubre de 2016

Anunciadas vulnerabilidades en OpenOffice

Se han anunciado dos vulnerabilidades en OpenOffice que podría llegar a permitir la ejecución remota de código arbitrario.

Apache OpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

La primera vulnerabilidad, identificada como CVE-2016-6803, reside en el instalador de Apache OpenOffice para Windows por una ruta de búsqueda Windows sin comillas, lo que podría permitir la ejecución de software no deseado por una aplicación troyanizada.

Por otra parte, con CVE-2016-6804, otra vulnerabilidad en el instalador para Windows que podría permitir la carga de una dll falsa y de esa forma lograr ejecutar código arbitrario con privilegios elevados.

Se ven afectadas todas las versiones de OpenOffice 4.1.2 y anteriores, también afectan a OpenOffice.org. Estas vulnerabilidades están corregidas en OpenOffice 4.1.3. Se encuentra disponible para su descarga desde la página oficial.
https://www.openoffice.org/download/

Más información:

Windows Installer Can Enable Privileged Trojan Execution
http://www.openoffice.org/security/cves/CVE-2016-6803.html

Windows Installer Execution of Arbitrary Code with Elevated Privileges
http://www.openoffice.org/security/cves/CVE-2016-6804.html

  

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017