- Otras noticias
Teoría y práctica en la seguridad de las contraseñas
Firefox vs. Internet Explorer, ¿cuál es más seguro?
Mozilla permite deshabilitar elementos via JavaScript
La nueva versión de Firefox corrige 17 vulnerabilidades
Denegación de servicio a través de IPv6 en Sun Solaris 8, 9 y 10
Informan de un nuevo ataque Zero-day a Microsoft Office
La guerra contra el spam
Las mafias incrementan sus fraudes en la red a través de los troyanos
Identificados los autores del virus Nuwar
Menos de la mitad de los directores de TI han implantado soluciones de encriptación
- En el foro
-
VULNERABILIDADES
Aparecen problemas de seguridad en productos ofimáticos
03 Jul 2006 | HISPASEC.COM
Las vulnerabilidades descubiertas afectan a las versiones 1.1.x y 2.0.x.OpenOffice.org ha publicado la versión 2.0.3 que resuelve estosproblemas. En breve se publicará un parche para la versión 1.1.x.
Los errores son tres:
* Algunos applets de Java pueden saltar fuera de la sandbox, con lo que el código del applet podría tener acceso al sistema con los privilegios del usuario que lo ha ejecutado. Para este problema, si no se aplica el parche, es posible deshabilitar el soporte para los applets de Java y mitigar el problema (aparte de usar privilegios mínimos).
* Existe un fallo a la hora de interpretar ficheros en formato XML
que abre la posibilidad de desbordamientos de memoria intermedia en documentos especialmente manipulados. Este error haría que OpenOffice.org dejase de funcionar y potencialmente, cabría la posibilidad de ejecución de código arbitrario.
* Existe por último un fallo en el mecanismo de macros que puede
permitir a un atacante incluir ciertas macros que podrían llegar a
ejecutarse incluso si el usuario las ha deshabilitado. Estas macros también podrían tener acceso al sistema completo con los privilegios del usuario que lo ejecuta, que no sería advertido de la ejecución en ningún momento. No existe contramedida específica para este fallo, es necesario el parche.
La mayoría de distribuciones ya están proporcionando sus respectivas versiones actualizadas. Se recomienda actualizar desde
www.openoffice.org a la versión 2.0.3. Estas son, por ahora, las
vulnerabilidades más graves encontradas en este conjunto ofimático. La anterior vulnerabilidad de considerable gravedad se descubrió en abril de 2005, y permitía la ejecución de código con sólo abrir un archivo en formato .doc. En aquel momento, aunque los detalles sobre el problema fueron publicados, no se utilizó la vulnerabilidad para esparcir virus o malware en general de forma masiva. En esta ocasión, además, teniendo en cuenta que los detalles no son públicos, tampoco se prevé que sea aprovechado para infectar sistemas, aunque su creciente popularidad puede terminar por hacerlo objetivo de ataques generalizados.
Este descubrimiento de fallos en el popular programa, coincide con la mala racha de seguridad que lleva el producto equivalente de Microsoft, Office, del que se han descubierto varios problemas muy graves en un breve periodo de tiempo.
Más información:
File Format, CVE-2006-3117
www.openoffice.org/security/CVE-2006-3117.html
Macro, CVE-2006-2198
www.openoffice.org/security/CVE-2006-2198.html
Java Applets, CVE-2006-2199
www.openoffice.org/security/CVE-2006-2199.html
Word macro trojan dropper and (another) downloader
isc.sans.org/diary.php?date=2006-06-27
Malformed Word Document Could Enable Macro to Run Automatically
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
