В StarOffice и OpenOffice найдены критические уязвимости

Критические уязвимости, позволяющие захватить контроль над системой, обнаружены сразу в двух офисных пакетах с открытым кодом: StarOffice от Sun и OpenOffice от OpenOffice.org.

Уязвимости в StarOffice относятся к электронным таблицам StarCalc и к способу обработки URL приложениями пакета, сообщила Sun. Первая позволяет выполнить в системе произвольный код, специально встроенный в документ формата StarCalc 1.0 «.sdc», в StarOffice/StarSuite 6, 7 и 8. Вторая уязвимость относится к тем же версиям офисного пакета и позволяет выполнить произвольные команды в системе с привилегиями текущего пользователя при помощи специально сконструированного URL. Компания отслеживания уязвимостей Secunia присвоила найденным уязвимостям рейтинг «высоко критических».

В OpenOffice обнаружены те же уязвимости, поскольку для данных функций пакет использует тот же самый код, что и StarOffice, а также критическая уязвимость, связанная с обработкой документов WordPerfect. Патчи пока не выпущены, однако устранить опасность можно, загрузив новую версию пакета, Release Candidate 4 версии 2.2 отсюда. В нём вышеописанных уязвимостей нет.

Secunia указывает некоторые подробности уязвимостей OpenOffice: одна из них вызвана рядом ошибок в libwpd, что приводит к переполнению буфера в куче и передаёт управление на сторонний код, скрытый в документе WordPerfect; StarCalc не проверяет границы, что приводит к переполнению стека, а уязвимость в обработке URL вызвана неверной обработкой мета-символа выполнения команд системы и срабатывает при попытке перейти по ссылке.

Во избежание опасности Secunia советует не открывать документы, поступившие из ненадёжных источников.

citcity.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: