Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/05/2012
Vulnerabilitats en OpenOffice i LibreOffice
S’han revelat tres vulnerabilitats en OpenOffice i LibreOffice que podrien permetre dur a terme una denegació de servici i l’execució de codi arbitrari.OpenOffice i LibreOffice són paquets ofimàtics de codi obert i gratuïts. Els dos compten amb aplicacions de fulls de càlcul (Calc), processador de textos (Writer), bases de dades (Base), presentacions (Impress), gràfics vectorials (Draw) i creació i edició de fórmules matemàtiques (Math).
Tielei Wang ha descobert una vulnerabilitat identificada com a CVE-2012-1149, a causa d'un error de desbordament d'enters en el mòdul 'vclmi.dll' en assignar memòria per a un objecte d’imatge integrat en un document. Un atacant remot podria aprofitar esta vulnerabilitat per a executar codi arbitrari si la víctima obri un document DOC que incloga un objecte d’imatge especialment manipulat.
Un altre problema és una fallada en libwpd que podria causar una sobreescriptura de memòria. Este error podria ser explotat per un atacant a través d’un document WordPerfect (amb format WPD) especialment manipulat, per a aconseguir executar codi arbitrari de forma remota. Esta vulnerabilitat ha sigut descoberta per Kestutis Gudinavicius, i té assignat l’identificador CVE-2012-2149.
Sven Jacobias ha reportat una altra vulnerabilitat a causa d'un error de control en l’assignació de memòria en els filtres 'msdffimp.cxx' localitzats en 'filter/source/msfilter'. Un atacant remot podria dur a terme una denegació de servici utilitzant un document PowerPoint amb registres especialment manipulats. Se li ha assignat l’identificador CVE-2012-2334.
Sistemes Afectats:OpenOffice 3.3 i 3.4 Beta en totes les plataformes.
LibreOffice, versions anteriors a la 3.5.3.
Referències:CVE-2012-1149 , CVE-2012-2149 , CVE-2012-2334
Solució:Per a corregir estes vulnerabilitats, s’han publicat OpenOffice 3.4, i LibreOffice 3.5.3. Es troben disponibles per a la descàrrega des de les pàgines oficials.
Notes:Vulnerabilitats en OpenOffice i LibreOffice - Una Al Dia
CVE-2012-1149: OpenOffice.org - LibreOffice
CVE-2012-2149: OpenOffice.org
CVE-2012-2334: OpenOffice.org - LibreOffice