Vulnerabilidades RCE en Apache OpenOffice
La primera de estas vulnerabilidades es TALOS-2017-0295. Este fallo de seguridad afecta a la herramienta Writer, la alternativa a Word de esta suite ofimática, y se encuentra en el constructor WW8Fonts. De esta manera, un atacante podría crear un documento .DOC malicioso fácilmente que ocultara en su interior un simple exploit para explotar esta vulnerabilidad y poder ejecutar código en la memoria de los sistemas afectados.El segundo de los fallos de seguridad descubierto por Talos es TALOS-2017-0300. Este fallo se encuentra en Impress (aunque en la web de Talos hace referencia a Draw debe tratarse de un error), la alternativa a PowerPoint de esta suite ofimática de código abierto. La vulnerabilidad se encuentra en la función PPTStyleSheet, y puede permitir a un atacante crear una presentación PPT maliciosa con un exploit utilizado para ejecutar código en la memoria.
En tercer lugar, TALOS-2017-0301 es otra vulnerabilidad que afecta a Writer, la alternativa a Word de OpenOffice. Esta vulnerabilidad se encuentra en la función ImportOldFormatStyles y puede permitir a cualquier atacante ejecutar código en la memoria de la máquina que abra un documento especialmente creado para este fin.
Los expertos de Talos han podido comprobar que la versión 4.1.3 de esta suite es vulnerable, aunque es muy probable que otras versiones anteriores también lo sean. Además, los expertos de seguridad de Cisco nos recuerdan que OpenOffice no es la única distribución afectada por estas vulnerabilidades, y es que el pasado mes de febrero se descubrieron fallos similares en LibreOffice, e incluso en el Kernel de Windows, por lo que es de vital importancia utilizar siempre versiones actualizadas y modernas de todo.
Cómo protegernos de estas vulnerabilidades de OpenOffice
Para evitar que atacantes puedan aprovecharse de estas vulnerabilidades, lo que debemos hacer es actualizar cuanto antes nuestra suite ofimática a la última versión disponible, la 4.1.4, versión que soluciona estos fallos de seguridad. La última versión, ya asegurada, se puede descargar de forma gratuita desde el siguiente enlace.Otra posibilidad es cambiar de suite ofimática dejando de lado a OpenOffice y optando por LibreOffice, el fork de esta suite que apareció después de que Oracle se hiciera con ella, y versión que más ha madurado en los últimos años.
Fuente: Redes Zone
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!