La suite ofimática de código abierto LibreOffice se ha actualizado
recientemente para corregir una vulnerabilidad que podría permitir a un
atacante lograr la ejecución remota de código.
LibreOffice es una suite ofimática de código abierto y gratuita.
Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos
(Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial
(Draw), y creación y edición de fórmulas matemáticas (Math).
El problema, con CVE-2016-4324, ha sido descubierto por el equipo de
investigadores de Cisco Talos. Reside en un uso de memoria después de liberarla
en el tratamiento de documentos RTF (Rich Text Format) que contengan tanto
hojas de estilo como elementos superíndice. Un documento RTF específicamente
diseñado que contenga tanto una hoja de estilo y un elemento superíndice puede
provocar que LibreOffice acceda a un puntero no válido que haga referencia a
memoria previamente utilizada en el heap. Una manipulación cuidadosa del heap
podría permitir la ejecución de código arbitrario. Evidentemente se requiere la
interacción del usuario atacado para abrir el archivo.
Recomendación
·
Para
corregir esta vulnerabilidad se ha publicado LibreOffice 5.2.0 y 5.1.4 que se
encuentran disponibles para su descarga desde la página oficial http://es.libreoffice.org/descarga/
Más información:
·
CVE-2016-4324
Dereference of invalid STL iterator on processing RTF file http://www.libreoffice.org/about-us/security/advisories/cve-2016-4324/
·
Vulnerability
Spotlight: LibreOffice RTF Vulnerability http://blogs.cisco.com/security/talos/vulnerability-spotlight-libreoffice
Fuente: Hispasec