viernes, 1 de julio de 2016

Corregida una vulnerabilidad en LibreOffice

La suite ofimática de código abierto LibreOffice se ha actualizado recientemente para corregir una vulnerabilidad que podría permitir a un atacante lograr la ejecución remota de código.

LibreOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

El problema, con CVE-2016-4324, ha sido descubierto por el equipo de investigadores de Cisco Talos. Reside en un uso de memoria después de liberarla en el tratamiento de documentos RTF (Rich Text Format) que contengan tanto hojas de estilo como elementos superíndice. Un documento RTF específicamente diseñado que contenga tanto una hoja de estilo y un elemento superíndice puede provocar que LibreOffice acceda a un puntero no válido que haga referencia a memoria previamente utilizada en el heap. Una manipulación cuidadosa del heap podría permitir la ejecución de código arbitrario. Evidentemente se requiere la interacción del usuario atacado para abrir el archivo.

Para corregir esta vulnerabilidad se ha publicado LibreOffice 5.2.0 y 5.1.4 que se encuentran disponibles para su descarga desde la página oficial:

Más información:

CVE-2016-4324 Dereference of invalid STL iterator on processing RTF file

Vulnerability Spotlight: LibreOffice RTF Vulnerability




Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada