Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/11/2018

Descubiertas varias vulnerabilidades en Atlantis Word Processor

Se han descubierto varias vulnerabilidades en el procesador de textos Atlantis que permiten ejecutar de forma remota, código arbitrario en los sistemas.

El equipo de investigadores de Talos han descubierto múltiples vulnerabilidades en el procesador de de textos Atlantis. Las vulnerabilidades permitirían la ejecución de código arbitrario de forma remota.

Se han liberado tres pruebas de concepto que corroboran las vulnerabilidades detectadas.

• CVE-2018-4038: cálculo incorrecto del tamaño del buffer, vulnerabilidad que reside en el analizador del formato del documento.
• CVE-2018-4039: validación incorrecta, vulnerabilidad que permite un bufferoverflow en la implementación de los PNG por parte de la aplicación.
• CVE-2018-4040: variable no inicializada, vulnerabilidad que reside en el analizador del formato de texto enriquecido.

Las vulnerabilidades pueden ser explotas a través de correos con ficheros adjuntos que al ser ejecutados por la aplicación desencadenan la ejecución de código remoto.

Podéis encontrar más información en el siguiente enlace.

Sistemas Afectados:

Versiones 3.2.7.1 y 3.2.7.2

Referencias:

CVE-2018-4038, CVE-2018-4039, CVE-2018-4039

Solución:

Actualizar a la versión 3.2.10.1

Notas:

Detalles técnicos
https://blog.talosintelligence.com/2018/11/Atlantis-Word-Processor-RCE-vulns.html

Fuente
https://thehackernews.com/2018/11/word-processor-vulnerability.html

 

CSIRT-CV