Новости
Всё о Windows 10
Windows 8
Windows 7
Новости Windows
Новости НеWindows
Безопасность
Программы
Вокруг софта
Мобильная жизнь
Игры
Интернет
Железо
Наука и техника
Бизнес
Колонка редактора
Не про софт
Программы
Игры
Блоги
Форум
Я 
Софтодром
В OpenOffice закрыли четыре уязвимости
Apache Software Foundation выпустила патчи для четырех уязвимостей, объявившихся в текстовом и графическом редакторах из популярного кросс-платформенного пакета приложений Apache OpenOffice (ранее он носил название OpenOffice.org). Все бреши оценены как умеренной степени опасности, случаев эксплуатации не зафиксировано, сообщает Threatpost. Три бага (CVE-2017-9806, CVE-2017-12607 и CVE-2017-12608) обнаружили исследователи из Cisco; соответствующий отчет был направлен в Apache Software Foundation в марте. Эксплуатация этих уязвимостей осуществляется с помощью вредоносного документа и при его открытии позволяет исполнить произвольный код через запись за границами буфера. Брешь CVE-2017-9806, согласно бюллетеню Apache Software Foundation, крылась в парсере doc-файлов текстового редактора, а точнее — в конструкторе класса WW8Fonts. «Данная уязвимость присутствует в классе WW8Fonts::WW8Fonts приложения OpenOffice для обработки текстов, — пишет Марцин Нога (Marcin Noga) в блоге Cisco Talos. — Атака предполагает создание вредоносного файла .doc (в двоичном формате Microsoft Word) с особым шрифтом». Уязвимость CVE-2017-12608, по словам исследователя, была обнаружена в функциональности WW8RStyle::ImportOldFormatStyles, используемой приложением Writer при создании документов. «Специально созданный doc-файл вызывает запись за пределами допустимого диапазона и в конечном итоге влечет локальное исполнение произвольного кода на машине жертвы в контексте текущего пользователя», — сказано в блог-записи Cisco Talos. Уязвимость CVE-2017-12607, по словам Ноги, присутствовала в приложении Draw, предназначенном для создания файлов в формате .ppt, а точнее, в функциональности PPTStyleSheet:PPTStyleSheet. «Для эксплуатации этой уязвимости автор атаки может создать особый ppt-файл, обработка которого повлечет запись за пределами допустимого диапазона и позволит локально выполнить произвольный код на машине жертвы в контексте текущего пользователя», — поясняет исследователь. Как отмечают эксперты, атаки, использующие документы форматов OpenOffice, — весьма распространенное явление, хорошо знакомое пользователям аналогичного пакета от Microsoft. Четвертую брешь в Apache OpenOffice обнаружил ведущий ИБ-эксперт Salesforce Бен Хайяк (Ben Hayak). Эта уязвимость (CVE-2017-3157) тоже была связана с работой текстового редактора. «Из-за некорректного рендеринга встроенных объектов существовала возможность создания документа, позволяющего выполнить чтение из какого-либо файла в файловой системе пользователя, — сказано в соответствующем бюллетене Apache Software Foundation. — Эту информацию атакующий мог получить, к примеру, используя скрытые секции для ее хранения и убедив пользователя сохранить у себя документ, а затем вернуть его обратно». Уязвимости, найденные исследователями, подтверждены для версий 4.1.3 и ниже офисного пакета Apache. Чтобы избавиться от возможных проблем, пользователям рекомендуется установить OpenOffice 4.1.4. Скачать: Apache OpenOffice 4.1.4 для Windows Скачать: Apache OpenOffice 4.1.4 для Linux
|
|
|
Топ-сегодня: Программы
Критические уязвимости нашли в большинстве популярных в России мобильных приложений ритейлеров одежды iOS-версии приложений оказались защищены значительно хуже, чем версии для Android В браузере Google Chrome 73 закрыли 60 уязвимостей Браузер Google Chrome теперь автоматически блокирует загрузку контента из iframe-блоков, используемых для показа рекламы В ICQ 8 появилась возможность звонить на обычные телефоны Новая версия ICQ полностью создана московской командой разработчиков на базе единой платформы для ICQ и Агента Mail.ru Лучшие бесплатные программы 2007 года Softodrom.ru: 20 лучших бесплатных программ 2007 года Помощница «Алиса» — шпион «Яндекса»?
Софтодром протестировал Windows-версию голосового помощника «Алиса», после чего удалил ее как потенциальное spyware |
Новые статьи: Программы
Критические уязвимости нашли в большинстве популярных в России мобильных приложений ритейлеров одежды iOS-версии приложений оказались защищены значительно хуже, чем версии для Android В браузере Google Chrome 73 закрыли 60 уязвимостей Браузер Google Chrome теперь автоматически блокирует загрузку контента из iframe-блоков, используемых для показа рекламы F5 Networks купила Nginx за $670 млн Команда разработчиков, в том числе Игорь Сысоев и Максим Коновалов, продолжит развивать nginx уже в составе F5 В Яндекс.Браузере тестируют предпросмотр вкладок Если вкладок в окне открыто много, то найти среди них определенный сайт становится непросто Выпущен Wireshark 3.0.0
Вышла новая версия снифера и анализатора сетевого и USB-трафика Wireshark для Windows и Linux |