Las suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han actualizado recientemente para corregir una vulnerabilidad de ejecución remota de código.
Apache OpenOffice y
LibreOffice son suites ofimáticas de código abierto y gratuitas. Ambas cuentan
con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer),
bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y
creación y edición de fórmulas matemáticas (Math).
Detalle e Impacto de la vulnerabilidad corregida
- La
vulnerabilidad (con CVE-2015-1774) afecta a documentos HWP, y está causada
por un desbordamiento de búfer en el tratamiento del filtro HWP. Este
problema podría permitir realizar denegaciones de servicio y lograr
ejecutar código arbitrario a través de documentos HWP especialmente
manipulados. Se ven afectadas todas las versiones de OpenOffice (versiones
4.1.1 y anteriores) y Libreoffice (versiones anteriores a 4.3.7/4.4.2).
- La
extensión HWP hace referencia a un tipo concreto de documentos creados con
el procesador de textos coreano Hangul Word Processor, con capacidad de
escribir y guardar documentos en el idioma coreano. Esto podría limitar
las posibilidades de ataques fuera de este país, pero bien por
desconocimiento o por un uso de la ingeniería social un atacante podría
conseguir que alguien llegue a abrir un archivo malicioso.
Recomendación
Para corregir estas
vulnerabilidades, se han publicado Apache OpenOffice 4.1.1, y LibreOffice
4.3.7/4.4.2 que se encuentran disponibles para su descarga desde las páginas
oficiales:
Más información:
- CVE-2015-1774 Out of bounds write in HWP
file filter http://www.libreoffice.org/about-us/security/advisories/cve-2015-1774/
- OpenOffice HWP Filter Remote Code Execution
and Denial of Service Vulnerability http://www.openoffice.org/security/cves/CVE-2015-1774.html
