Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/11/2018
L'equip d'investigadors de Talos ha descobert múltiples vulnerabilitats en el processador de textos Atlantis. Les vulnerabilitats permetrien l'execució de codi arbitrari de forma remota.
S'han alliberat tres proves de concepte que corroboren les vulnerabilitats detectades. .
CVE-2018-4038: càlcul incorrecte de la grandària de la memòria intermèdia, vulnerabilitat que resideix en l'analitzador del format del document.
CVE-2018-4039: validació incorrecta, vulnerabilitat que permet un desbordament de memòria intermèdia en la implementació dels PNG per part de l'aplicació.
CVE-2018-4040: variable no inicialitzada, vulnerabilitat que resideix en l'analitzador del format de text enriquit.
Les vulnerabilitats poden ser explotades a través de correus amb fitxers adjunts que en ser executats per l'aplicació desencadenen l'execució de codi remot.
Podeu trobar més informació en el següent enllaç.
Sistemes Afectats:Versions 3.2.7.1 y 3.2.7.2
Referències:CVE-2018-4038, CVE-2018-4039, CVE-2018-4039
Solució:Actualitzar a la versió 3.2.10.1
Notes:
Detalls tècnics
https://blog.talosintelligence.com/2018/11/Atlantis-Word-Processor-RCE-vulns.html
Font
https://thehackernews.com/2018/11/word-processor-vulnerability.html