Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/08/2013
Corregidas dos vulnerabilidades en OpenOffice y LibreOffice
Las suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han actualizado recientemente para, entre otros cambios y mejoras, corregir dos vulnerabilidades remotas.OpenOffice y LibreOffice son suites ofimáticas de código abierto y gratuitas. Ambas cuentan con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).
Los problemas corregidos permitirían realizar denegaciones de servicio y potencialmente ejecutar código arbitrario a través de documentos Word especialmente manipulados, afectaban a todas las versiones de OpenOffice / Libreoffice (versiones 3.x y anteriores).
La primera vulnerabilidad (con CVE-2013-2189) afecta al formato Microsoft Office Word (DOC), y está causada por el procesamiento de datos PLCF (Plex of Character Positions in File) no válidos, lo que provoca un desbordamiento de búfer.
La segunda vulnerabilidad (con CVE-2013-4156) afecta al formato Microsoft Office Word Macro-Enabled (DOCM), y está causada por una incorrecta gestión de los elementos XML en un documento OOXML al producirse una referencia a puntero nulo.
Sistemas Afectados:Versiones 3.x y anteriores de OpenOffice / Libreoffice
Referencias:CVE-2013-2189, CVE-2013-4156
Solución:Para corregir estas vulnerabilidades, se han publicado OpenOffice 4.0, y LibreOffice 4.1 que se encuentran disponibles para su descarga desde las páginas oficiales: http://es.libreoffice.org/descarga/ http://www.openoffice.org/es/descargar/
Notas:Ambas vulnerabilidades han sido reportadas por Jeremy Brown de Microsoft Vulnerability Research.
LaFlecha
Más información:
OpenOffice DOCM Memory Corruption Vulnerability http://www.openoffice.org/security/cves/CVE-2013-4156.html
OpenOffice DOC Memory Corruption Vulnerability http://www.openoffice.org/security/cves/CVE-2013-2189.html
CVE-2013-4156: Microsoft .docm Denial Of Service http://www.libreoffice.org/advisories/cve-2013-4156
CVE-2013-2189: Microsoft .doc Memory Corruption Vulnerability http://www.libreoffice.org/advisories/CVE-2013-2189