lunes, 15 de febrero de 2010

Vulnerabilidades en OpenOffice.org permiten ejecución de código

OpenOffice.org ha publicado la versión 3.2 de su suite ofimática que soluciona hasta siete fallos de seguridad que podrían ser aprovechados por atacantes para ejecutar código arbitrario en los sistemas afectados.

Dos de los problemas se deben a un desbordamiento de búfer basado en heap al procesar registros mal construidos en un documento Word, lo que podría ser empleado por atacantes para lograr la ejecución de código arbitrario.

Otros problemas que también podrían ser empleados para lograr la ejecución de código arbitrario residen en el tratamiento de datos GIF y XPM.

Un problema reside en la versión de OpenOffice.org para Windows debido a que incluye una versión vulnerable de MSVC Runtime. Para finalizar también se han solucionado vulnerabilidades en libxmlsec y en libxml2.

Se recomienda actualizar a OpenOffice.org version 3.2:
http://download.openoffice.org/index.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in OpenOffice.org related to MS-Word document processing
http://www.openoffice.org/security/cves/CVE-2009-3301-3302.html

Security Vulnerability in OpenOffice.org related to GIF file processing
http://www.openoffice.org/security/cves/CVE-2009-2950.html

Security Vulnerability in OpenOffice.org related to XPM file processing
http://www.openoffice.org/security/cves/CVE-2009-2949.html

OpenOffice.org 3 for Windows bundles a vulnerable version of MSVC Runtime
http://www.openoffice.org/security/cves/CVE-2009-2493.html

Security Vulnerability in OpenOffice.org resulting from 3rd party library
http://www.openoffice.org/security/cves/CVE-2009-0217.html

Security Vulnerability in OpenOffice.org resulting from 3rd party libraries
http://www.openoffice.org/security/cves/CVE-2006-4339.html

No hay comentarios:

Publicar un comentario en la entrada