Новости и события » Общество » OpenOffice может быть взломан особым документом

OpenOffice может быть взломан особым документом

OpenOffice может быть взломан особым документом

В популярном офисном пакете с открытым кодом, Apache OpenOffice, обнаружена незакрытая уязвимость, превращающая сотни миллионов загрузивших его пользователей в потенциальные жертвы атак переполнением буфера.

Эксперт безопасности из Сингапура Юджин Лим (Eugene Lim) сообщил об этой уязвимости (CVE-2021-33035) на онлайн-конференции HackerOne Hacktivity, состоявшейся 18 сентября. Мораторий на разглашение данной информации закончился еще 30 августа, однако исправление так и не было полностью развернуто.

"Мы постараемся запустить версию Apache OpenOffice 4.1.11 в течение месяца, надеюсь, раньше, и опубликуем CVE-2021-33035 перед релизом", - заявил Дэйв Фишер (Dave Fisher), от имени Комитета по управлению проектом Apache OpenOffice.

CVE-2021-33035, как пояснил Лим, "представляет собой переполнение буфера файлом.dbf, который переопределяет указатель возврата с обходом DEP [предотвращение выполнения данных] и ASLR [рандомизация разметки адресного пространства] для окончательного выполнения злоумышленником произвольных команд".

Лим обнаружил этот баг после изучения формата файла.dbf и настройки шаблона для фаззинга - вставки данных в надежде вызвать сбой. В итоге ему удалось запустить концептуальную демонстрацию - атаку, которая заключалась в открытии файла в OpenOffice Calc с последующим сбоем.

Лим сказал, что эта уязвимость также затронула Scalabium dBase Viewer (CVE-2021-35297), но, поскольку этим проектом занимается один разработчик, исправление было быстрым. Что касается Apache OpenOffice, первоначальное раскрытие информации произошло 4 мая, и, если повезет, исправление будет готово до конца сентября.

Те, кто не склонен ждать, могут воспользоваться бета-установщиками и пропатченным исходным кодом.


Мощный электрокроссовер Kia для всей семьи

Мощный электрокроссовер Kia для всей семьи

Электромобиль Kia EV9 GT оснащен 501-сильной установкой и способен разогнаться до 100 км/ч за 4,3 с. Кроссовер получил адаптивные амортизаторы и улучшенные тормоза. Линейку Kia EV9 2025 пополнила спортивная модификация GT. Мощный семейный электрокроссовер...

сегодня 09:52

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх