miércoles, 29 de abril de 2015

Corregida vulnerabilidad en OpenOffice y LibreOffice

Las suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han actualizado recientemente para corregir una vulnerabilidad de ejecución remota de código.

Apache OpenOffice y LibreOffice son suites ofimáticas de código abierto y gratuitas. Ambas cuentan con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

La vulnerabilidad (con CVE-2015-1774) afecta a documentos HWP, y está causada por un desbordamiento de búfer en el tratamiento del filtro HWP. Este problema podría permitir realizar denegaciones de servicio y lograr ejecutar código arbitrario a través de documentos HWP especialmente manipulados. Se ven afectadas todas las versiones de OpenOffice (versiones 4.1.1 y anteriores) y Libreoffice (versiones anteriores a 4.3.7/4.4.2).

La extensión HWP hace referencia a un tipo concreto de documentos creados con el procesador de textos coreano Hangul Word Processor, con capacidad de escribir y guardar documentos en el idioma coreano. Esto podría limitar las posibilidades de ataques fuera de este país, pero bien por desconocimiento o por un uso de la ingeniería social un atacante podría conseguir que alguien llegue a abrir un archivo malicioso.

Para corregir estas vulnerabilidades, se han publicado Apache OpenOffice 4.1.1, y LibreOffice 4.3.7/4.4.2 que se encuentran disponibles para su descarga desde las páginas oficiales:

Más información:

CVE-2015-1774 Out of bounds write in HWP file filter

OpenOffice HWP Filter Remote Code Execution and Denial of Service Vulnerability


Antonio Ropero

Twitter: @aropero

1 comentario:

  1. La "solución" de Apache OpenOffice es eliminar el componente afectado. LibreOffice sí que realizó una corrección al código.

    ResponderEliminar