Софтодром   

В OpenOffice закрыли четыре уязвимости



Новости    Программы




Apache Software Foundation выпустила патчи для четырех уязвимостей, объявившихся в текстовом и графическом редакторах из популярного кросс-платформенного пакета приложений Apache OpenOffice (ранее он носил название OpenOffice.org). Все бреши оценены как умеренной степени опасности, случаев эксплуатации не зафиксировано, сообщает Threatpost.

Три бага (CVE-2017-9806, CVE-2017-12607 и CVE-2017-12608) обнаружили исследователи из Cisco; соответствующий отчет был направлен в Apache Software Foundation в марте. Эксплуатация этих уязвимостей осуществляется с помощью вредоносного документа и при его открытии позволяет исполнить произвольный код через запись за границами буфера.

Брешь CVE-2017-9806, согласно бюллетеню Apache Software Foundation, крылась в парсере doc-файлов текстового редактора, а точнее — в конструкторе класса WW8Fonts. «Данная уязвимость присутствует в классе WW8Fonts::WW8Fonts приложения OpenOffice для обработки текстов, — пишет Марцин Нога (Marcin Noga) в блоге Cisco Talos. — Атака предполагает создание вредоносного файла .doc (в двоичном формате Microsoft Word) с особым шрифтом».

Уязвимость CVE-2017-12608, по словам исследователя, была обнаружена в функциональности WW8RStyle::ImportOldFormatStyles, используемой приложением Writer при создании документов. «Специально созданный doc-файл вызывает запись за пределами допустимого диапазона и в конечном итоге влечет локальное исполнение произвольного кода на машине жертвы в контексте текущего пользователя», — сказано в блог-записи Cisco Talos.

Уязвимость CVE-2017-12607, по словам Ноги, присутствовала в приложении Draw, предназначенном для создания файлов в формате .ppt, а точнее, в функциональности PPTStyleSheet:PPTStyleSheet. «Для эксплуатации этой уязвимости автор атаки может создать особый ppt-файл, обработка которого повлечет запись за пределами допустимого диапазона и позволит локально выполнить произвольный код на машине жертвы в контексте текущего пользователя», — поясняет исследователь.

Как отмечают эксперты, атаки, использующие документы форматов OpenOffice, — весьма распространенное явление, хорошо знакомое пользователям аналогичного пакета от Microsoft.

Четвертую брешь в Apache OpenOffice обнаружил ведущий ИБ-эксперт Salesforce Бен Хайяк (Ben Hayak). Эта уязвимость (CVE-2017-3157) тоже была связана с работой текстового редактора. «Из-за некорректного рендеринга встроенных объектов существовала возможность создания документа, позволяющего выполнить чтение из какого-либо файла в файловой системе пользователя, — сказано в соответствующем бюллетене Apache Software Foundation. — Эту информацию атакующий мог получить, к примеру, используя скрытые секции для ее хранения и убедив пользователя сохранить у себя документ, а затем вернуть его обратно».

Уязвимости, найденные исследователями, подтверждены для версий 4.1.3 и ниже офисного пакета Apache. Чтобы избавиться от возможных проблем, пользователям рекомендуется установить OpenOffice 4.1.4.

Скачать: Apache OpenOffice 4.1.4 для Windows
Скачать: Apache OpenOffice 4.1.4 для Linux




Автор: Softodrom.ru
Дата:

Новое: Программы
28.04.2025 15:20

Яндекс Браузер научился передавать оригинальные голоса и интонации при переводе видео

Благодаря использованию нейросетей Яндекс Браузер теперь умеет передавать оригинальные голоса и интонации при переводе видео


26.04.2025 17:45

В Yahoo заявили о готовности купить браузер Google Chrome

Ранее о своей заинтересованности в покупке браузера Google Chrome также заявила компания OpenAI, разработчик ChatGPT


24.04.2025 13:47

Минцифры заявило об ужесточении работы с мессенджерами

Запрещать мессенджеры в России не планируется, однако ужесточение работы с ними уже началось, рассказал глава Минцифры Максут Шадаев


23.04.2025 15:57

Разработчик ChatGPT может купить браузер Google Chrome

Минюст США рекомендовал Google продать браузер Chrome для урегулирования дела, в рамках которого суд признал компанию монополистом в сфере поисковых технологий


23.04.2025 13:07

Разработчикам приложений для ОС Аврора стал доступен сервис VK по сбору и анализу ошибок

С помощью бесплатного инструмента Tracer разработчики приложений на ОС Аврора смогут отслеживать ошибки в режиме реального времени и оперативно устранять неисправности


Популярное: Программы
26.11.2017 04:13

Программы или приложения: как правильно?

Софтодром решил вспомнить те вышедшие из употребления слова, которые имеют отношение к информационным технологиям


29.11.2017 02:28

Что такое Portable-приложения

Софтодром рассказывает о том, что такое портативные приложения и в чем их преимущества перед непортативными


03.12.2017 01:04

Как скрыть папку на компьютере

Софтодром рассказывает о различных способах, которые позволяют скрыть папку или отдельные файлы в Windows


22.10.2023 21:43

Топ-20 лучших бесплатных программ для компьютера на Windows

Софтодром представляет подборку из 20 лучших бесплатных программ для компьютера на Windows в различных категориях


25.11.2017 23:25

Чем бесплатные программы отличаются от бесплатных программ

Софтодром попытался разобраться, почему некоторые бесплатные программы бесплатнее, чем другие, и существуют ли вообще бесплатные программы


Все рубрики статей (1694 / 328):


Программы | Рейтинги | Статистика | Авторам | Рассылки
Copyright © 1999-2025 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта