Se han anunciado dos vulnerabilidades en OpenOffice que podría llegar a permitir la ejecución remota de código arbitrario.
Apache OpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).
La primera vulnerabilidad, identificada como CVE-2016-6803, reside en el instalador de Apache OpenOffice para Windows por una ruta de búsqueda Windows sin comillas, lo que podría permitir la ejecución de software no deseado por una aplicación troyanizada.
Por otra parte, con CVE-2016-6804, otra vulnerabilidad en el instalador para Windows que podría permitir la carga de una dll falsa y de esa forma lograr ejecutar código arbitrario con privilegios elevados.
Recursos afectados
- Se ven afectadas todas las versiones de OpenOffice 4.1.2 y anteriores, también afectan a OpenOffice.org. Estas vulnerabilidades están corregidas en OpenOffice 4.1.3.
Recomendación
- Se encuentra disponible para su descarga desde la página oficial https://www.openoffice.org/download/
Más información:
- Windows Installer Can Enable Privileged Trojan Execution http://www.openoffice.org/security/cves/CVE-2016-6803.html
- Windows Installer Execution of Arbitrary Code with Elevated Privileges http://www.openoffice.org/security/cves/CVE-2016-6804.html
Fuente: Hispasec
NOTICIAS DE ARCHIVO 