sábado, 7 de noviembre de 2015

Corregidas vulnerabilidades en OpenOffice y LibreOffice

Las suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han actualizado recientemente para corregir diferentes vulnerabilidades, que podrían permitir a un atacante obtener información sensible o lograr la ejecución remota de código.

Apache OpenOffice y LibreOffice son suites ofimáticas de código abierto y gratuitas. Ambas cuentan con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

El primero de los problemas, con CVE-2015-4551, podría permitir a un atacante crear un documento (Writer o Calc) específicamente diseñado de forma que cuando se cargue por el usuario atacado, dará lugar a un error que permitirá insertar, a través de enlaces, documentos de forma invisible. De esta forma, si el usuario graba y devuelve el documento el atacante podrá obtener información sensible del usuario.

Otros fallos residen en un subdesbordamiento de entero en el tratamiento de archivos ODF (CVE-2015-5212) y un desbordamiento de entero en archivos DOC (CVE-2015-5213). Por último, una corrupción de memoria en el tratamiento de marcadores de archivos DOC (CVE-2015-5214). Estas vulnerabilidades podrían permitir a un atacante la ejecución de código arbitrario.

Para corregir estas vulnerabilidades, se han publicado Apache OpenOffice 4.1.2, y LibreOffice 4.4.6 y 5.0.0 que se encuentran disponibles para su descarga desde las páginas oficiales:

Más información:

CVE-2015-4551 Arbitrary file disclosure in Calc and Writer

CVE-2015-4551: Targeted data disclosure

CVE-2015-5212 ODF Integer Underflow (PrinterSetup Length)

CVE-2015-5212: ODF printer settings vulnerability

CVE-2015-5213 DOC piecetable Integer Overflow

CVE-2015-5213: .DOC Document vulnerability

CVE-2015-5214 DOC Bookmark Status Memory Corruption

CVE-2015-5214: .DOC Bookmarks vulnerability



                                                                                                  
Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada