Se ha anunciado una vulnerabilidad en OpenOffice que podría llegar a permitir la ejecución remota de código arbitrario.
OpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).
La vulnerabilidad, identificada como CVE-2016-1513, fue reportadapor el equipo de seguridad de Cisco Talos. El fallo reside en una lectura y escritura fuera de límites al tratar archivos .OTP (plantillas de presentación) y .ODP (Presentaciones OpenDocument) con elementos de presentación MetaPolyPolygonAction cuando el documento se carga en Apache OpenOffice Impress. Un documento específicamente manipulado podría permitir a un atacante provocar una denegación de servicio o la posible ejecución de código arbitrario.
Se ven afectadas todas las versiones de OpenOffice 4.1.2 y anteriores. En la actualidad no existe actualización en forma de descarga disponible.
Aunque se ha publicado un parche en forma de código disponible en el repositorio:
https://bz.apache.org/ooo/show_bug.cgi?id=127045
Más información:
Memory Corruption Vulnerability (Impress Presentations)
http://www.openoffice.org/security/cves/CVE-2016-1513.html
OpenOffice Impress MetaActions Arbitrary Read Write Vulnerability
http://www.talosintelligence.com/reports/TALOS-2016-0051/
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Compártelo: