Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/08/2013
Corregides dos vulnerabilitats en OpenOffice i LibreOffice
Les suites ofimàtiques de codi obert, LibreOffice i OpenOffice, s’han actualitzat recentment per a, entre altres canvis i millores, corregir dos vulnerabilitats remotes.OpenOffice i LibreOffice són suites ofimàtiques de codi obert i gratuïtes. Ambdós compten amb aplicacions de fulls de càlcul (Calc), processador de textos (Writer), bases de dades (Base), presentacions (Impress), gràfics vectorial (Draw), i creació i edició de fórmules matemàtiques (Math).
Els problemes corregits permetrien realitzar denegacions de servici i potencialment executar codi arbitrari a través de documents Word especialment manipulats, afectaven totes les versions d’OpenOffice / Libreoffice (versions 3.x i anteriors).
La primera vulnerabilitat (amb CVE-2013-2189) afecta el format Microsoft Office Word (DOC), i està causada pel processament de dades PLCF (Plex of Character Positions in File) no vàlids, la qual cosa provoca un desbordament de búfer.
La segona vulnerabilitat (amb CVE-2013-4156) afecta el format Microsoft Office Word Macro-Enabled (DOCM), i està causada per una incorrecta gestió dels elements XML en un document OOXML al produir-se una referència a punter nul.
Sistemes Afectats:P { margin-bottom: 0.21cm; }A:link { }
Versions 3.x i anteriors d’OpenOffice / Libreoffice
Referències:CVE-2013-2189, CVE-2013-4156
Solució:Per a corregir estes vulnerabilitats, s’han publicat OpenOffice 4.0, i LibreOffice 4.1 que es troben disponibles per a la seua descàrrega des de les pàgines oficials: http://es.libreoffice.org/descarga/ http://www.openoffice.org/es/descargar/
Notes:Ambdós vulnerabilitats han sigut reportades per Jeremy Brown de Microsoft Vulnerability Research.
Més informació:
OpenOffice DOCM Memory Corruption Vulnerability http://www.openoffice.org/security/cves/CVE-2013-4156.html
OpenOffice DOC Memory Corruption Vulnerability http://www.openoffice.org/security/cves/CVE-2013-2189.html
CVE-2013-4156: Microsoft .docm Denial Of Service http://www.libreoffice.org/advisories/cve-2013-4156
CVE-2013-2189: Microsoft .doc Memory Corruption Vulnerability http://www.libreoffice.org/advisories/CVE-2013-2189