La
suite ofimática de código abierto LibreOffice
se ha actualizado
recientemente para corregir una vulnerabilidad en Calc y Writer que podría permitir a un atacante obtener el contenido de cualquier archivo
del sistema.
LibreOffice es una suite
ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de
cálculo (Calc), procesador de textos (Writer), bases de datos (Base),
presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de
fórmulas matemáticas (Math).
El problema, con CVE-2017-3157, reside en un problema en el uso de objetos
incrustados en Calc y Writer. Estos objetos pueden contener una vista previa de
su contenido. Un atacante podrá crear un documento que incluya un objeto
incrustado consistente en un enlace a un archivo existente en el sistema
atacado. Al cargar la previsualización el objeto se actualizará para reflejar
el contenido del archivo.
Si LibreOffice se emplea como un servicio
online la vista previa de datos podrá empelarse para exponer detalles del
entorno en que se ejecute la suite. En el caso de que Calc o Writer se usen como
aplicación de escritorio estándar, la vista previa podría ocultarse en secciones
ocultas que podrán ser recuperadas por el atacante si el documento se guarda y
devuelve al remitente.
En las versiones corregidas de LibreOffice
se ha ampliado la característica LinkUpdateMode para añadir controles
adicionales a la actualización de vistas previas de objetos incrustados, así
como su función anterior para controlar la actualización del contenido del
objeto incrustado.
Esta vulnerabilidad se encuentra
corregida en LibreOffice 5.1.6, 5.2.5 y 5.3.0 que se encuentran disponibles
para su descarga desde la página oficial:
Más información:
CVE-2017-3157 Arbitrary file disclosure in Calc
and Writer
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario