События

Apache исправила ряд критических уязвимостей в OpenOffice

В минувшую пятницу организация Apache Software Foundation выпустила новую версию популярного набора бесплатных офисных приложений Apache OpenOffice 4.1.4., в которой исправлены 4 опасные уязвимости.

Три из четырех уязвимостей (CVE-2017-9806, CVE-2017-12607, CVE-2017-12608) позволяют злоумышленнику скомпрометировать целевую систему посредством вредоносных документов (.doc и .ppt), позволяющих осуществить чтение/запись за пределами поля (out-of-bound read/write) и выполнить произвольный код. Все три проблемы были обнаружены исследователями безопасности из компании Cisco Talos, уведомивших Apache о своем открытии в марте текущего года.

Уязвимость (CVE-2017-9806) существует в классе шрифтов WW8Fonts::WW8Fonts текстового редактора OpenOffice. Злоумышленник может создать файл в формате .doc с вредоносным шрифтом и удаленно выполнить произвольный код на целевом устройстве.

Вторая уязвимость (CVE-2017-12608) затрагивает функцию OpenOffice WW8RStyle::ImportOldFormatStyles, используемую для создания документов. С помощью специально сформированного файла .doc локальный злоумышленник может осуществить запись за пределами поля и выполнить произвольный код на устройстве в контексте текущего пользователя.

Третья уязвимость (CVE-2017-12607) затрагивает функцию PPTStyleSheet::PPTStyleSheet в графическом редакторе OpenOffice Draw. Проэксплуатировав данную уязвимость, локальный атакующий может выполнить произвольный код на устройстве с помощью специально сформированного ppt-файла.

Четвертая уязвимость (CVE-2017-3157) была обнаружена экспертом по безопасности Беном Хаяком (Ben Hayak) из компании Salesforce. Проэксплуатировав метод обработки OpenOffice встроенных объектов, злоумышленник может создать документ, позволяющий просматривать файлы в файловой системе. Для успешной атаки злоумышленник должен обманом убедить жертву сохранить вредоносный документ и отправить его обратно атакующему.

По словам представителей Apache, свидетельств активной эксплуатации вышеописанных уязвимостей нет.

Источник

Автор: Сергей Куприянов
30.10.2017 (14:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.