【国际资讯】Apache OpenOffice更新修复四个中危漏洞

阅读量115902

|

发布时间 : 2017-10-30 14:26:53

x
译文声明

本文是翻译文章,文章来源:threatpost.com

原文地址:https://threatpost.com/apache-openoffice-update-patches-four-vulnerabilities/128669/

译文仅供参考,具体内容表达以及含义原文为准。

https://p2.ssl.qhimg.com/t013f85eef7836bcada.png

简介

上周五,Apache软件基金会修复了跟热门免费高效率工具Apache OpenOffice套件相关的四个漏洞。这些补丁适用于该套件的文字处理和图形app。每个漏洞的评级均为中危漏洞

其中三个漏洞是out-of-bound漏洞,如被利用,则能导致任意代码执行漏洞。这三个漏洞均由思科Talos团队发现并在3月份告知Apache软件基金会。

上周四,Apache软件基金会公开证实这些漏洞的存在,指出它们影响OpenOffice 4.1.3并提供4.1.4版本更新来修复这些问题。


漏洞详情概述

这三个out-of-bound漏洞 (CVE-2017-9806CVE-2017-12607CVE-2017-12608)之间是相互关联的,因为每个漏洞都能让攻击者通过恶意office文档攻陷系统。文件一旦打开,攻击者就会攻击主机系统。这个问题很常见,此前曾被用来攻击微软高效率工具Office套件。

其中一个OpenOffice漏洞 (CVE-2017-9806) 能让攻击者创建一个恶意字体,导致一个out-of-bound写入漏洞,从而触发远程代码执行事件。发现该漏洞的思科安全研究员Marcin Noga表示,“该漏洞存在于OpenOffice word处理器应用程序中的WW8Fonts::WW8Fonts类中。攻击者可通过一个构造的恶意字体构建一个恶意 .doc (微软Word二进制文件格式)文件。”

第二个漏洞 (CVE-2017-12608) 存在于在创建文档时使用的OpenOffice功能‘WW8RStyle::ImportOldFormatStyles’ 中。特别构造的doc文件会引发out-of-bound写入漏洞,从而导致在跟当前运行用户相同的上下文中在受害者机器上执行任意代码。

漏洞 (CVE-2017-12607) 存在于用于创建 .PPT格式文件的OpenOffice Draw应用程序中。该out-of-bound写入漏洞存在于‘PPTStyleSheet:PPTStyleSheet’ 功能中。

Salesforce公司的产品安全主管Ben Hayak发现了第四个漏洞CVE=2017-3159,它存在于OpenOffice的word处理器应用程序中,也于周五修复。他指出,“通过利用OpenOffice转换内嵌对象的方式,攻击者能够构建一个文档,从而从用户文件系统中读取文件。攻击者可通过使用隐藏部分存储信息、诱骗用户保存文档并说服用户将文档发送回攻击者。”


用户应更新至最新版本

Apache OpenOffice周五发布安全公告称,未发现这四个漏洞遭利用的迹象。缓解这些漏洞的方法是安装Apache OpenOffice 4.1.4

本文翻译自threatpost.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66