De Hispasec – Una al Día: Anunciada una vulnerabilidad en OpenOffice (26/07/2016)

Anunciada una vulnerabilidad en OpenOffice

martes, 26 de julio de 2016

Se ha anunciado una vulnerabilidad en OpenOffice que podría llegar a permitir la ejecución remota de código arbitrario.

openofficeOpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

La vulnerabilidad, identificada como CVE-2016-1513, fue reportada por el equipo de seguridad de Cisco Talos. El fallo reside en una lectura y escritura fuera de límites al tratar archivos .OTP (plantillas de presentación) y .ODP (Presentaciones OpenDocument) con elementos de presentación MetaPolyPolygonAction cuando el documento se carga en Apache OpenOffice Impress. Un documento específicamente manipulado podría permitir a un atacante provocar una denegación de servicio o la posible ejecución de código arbitrario.

Se ven afectadas todas las versiones de OpenOffice 4.1.2 y anteriores. En la actualidad no existe actualización en forma de descarga disponible.

Aunque se ha publicado un parche en forma de código disponible en el repositorio:

https://bz.apache.org/ooo/show_bug.cgi?id=127045

Más información:

Memory Corruption Vulnerability (Impress Presentations)

http://www.openoffice.org/security/cves/CVE-2016-1513.html

OpenOffice Impress MetaActions Arbitrary Read Write Vulnerability

http://www.talosintelligence.com/reports/TALOS-2016-0051/

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en OpenOffice, Seguridad, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *