- Otras noticias
El precio del malware
Actualización del kernel para Red Hat Enterprise Linux 5
Los riesgos de tener una Identidad Digital
Múltiples vulnerabilidades en Wireshark 0.x y 1.x
Ejecución remota de código a través de Microsoft Office
Malware y época de verano
El gusano Nurech.A se propaga a gran velocidad
Las temporada de compras navideñas es ideal para el fraude online
Las empresas utilizan el spam como herramienta para revalorizar sus acciones
Aumenta la alerta por posible gusano de Windows
- En el foro
-
VULNERABILIDADES
Aparecen problemas de seguridad en productos ofimáticos
03 Jul 2006 | HISPASEC.COM
Las vulnerabilidades descubiertas afectan a las versiones 1.1.x y 2.0.x.OpenOffice.org ha publicado la versión 2.0.3 que resuelve estosproblemas. En breve se publicará un parche para la versión 1.1.x.
Los errores son tres:
* Algunos applets de Java pueden saltar fuera de la sandbox, con lo que el código del applet podría tener acceso al sistema con los privilegios del usuario que lo ha ejecutado. Para este problema, si no se aplica el parche, es posible deshabilitar el soporte para los applets de Java y mitigar el problema (aparte de usar privilegios mínimos).
* Existe un fallo a la hora de interpretar ficheros en formato XML
que abre la posibilidad de desbordamientos de memoria intermedia en documentos especialmente manipulados. Este error haría que OpenOffice.org dejase de funcionar y potencialmente, cabría la posibilidad de ejecución de código arbitrario.
* Existe por último un fallo en el mecanismo de macros que puede
permitir a un atacante incluir ciertas macros que podrían llegar a
ejecutarse incluso si el usuario las ha deshabilitado. Estas macros también podrían tener acceso al sistema completo con los privilegios del usuario que lo ejecuta, que no sería advertido de la ejecución en ningún momento. No existe contramedida específica para este fallo, es necesario el parche.
La mayoría de distribuciones ya están proporcionando sus respectivas versiones actualizadas. Se recomienda actualizar desde
www.openoffice.org a la versión 2.0.3. Estas son, por ahora, las
vulnerabilidades más graves encontradas en este conjunto ofimático. La anterior vulnerabilidad de considerable gravedad se descubrió en abril de 2005, y permitía la ejecución de código con sólo abrir un archivo en formato .doc. En aquel momento, aunque los detalles sobre el problema fueron publicados, no se utilizó la vulnerabilidad para esparcir virus o malware en general de forma masiva. En esta ocasión, además, teniendo en cuenta que los detalles no son públicos, tampoco se prevé que sea aprovechado para infectar sistemas, aunque su creciente popularidad puede terminar por hacerlo objetivo de ataques generalizados.
Este descubrimiento de fallos en el popular programa, coincide con la mala racha de seguridad que lleva el producto equivalente de Microsoft, Office, del que se han descubierto varios problemas muy graves en un breve periodo de tiempo.
Más información:
File Format, CVE-2006-3117
www.openoffice.org/security/CVE-2006-3117.html
Macro, CVE-2006-2198
www.openoffice.org/security/CVE-2006-2198.html
Java Applets, CVE-2006-2199
www.openoffice.org/security/CVE-2006-2199.html
Word macro trojan dropper and (another) downloader
isc.sans.org/diary.php?date=2006-06-27
Malformed Word Document Could Enable Macro to Run Automatically
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
