Очередная критическая уязвимость в OpenOffice

image

В результате успешной эксплуатации, удаленный злоумышленник может выполнить произвольный код на системе целевого пользователя, открывшего специально созданный |RTF документ.

Джон  Хеасман, эксперт по безопасности компании NGSSoftware, обнаружил очередную уязвимость в OpenOffice в обработке тега “prtdata” в RTF файлах.

В результате успешной эксплуатации, удаленный злоумышленник может выполнить произвольный код на системе целевого пользователя, открывшего специально созданный |RTF документ.

Это уже 4-я критическая уязвимость в OpenOffice 2.x обнаруженная с начала 2007 года, позволяющая удаленно выполнить произвольный код через специально обработанный документ, который будет открыт пользователем программы.

Всем пользователям рекомендуется срочно установить OpenOffice 2.2.1 и не открывать документы из ненадежных источников.


или введите имя

CAPTCHA
Страницы: 1  2  
1
14-06-2007 12:56:00
Под такими статьями линуксоиды, рекламирующие ОО, почему-то всегда молчат. Показательно.
0 |
1
14-06-2007 13:06:13
У Microsoft ждем обновления каждый месяц. Это раз. У них ничуть не меньше уязвимостей. Это два. Считайте сами: Фильтр Опасность: критическая Ключевые слова: Microsoft Office Повреждение памяти в Microsoft Word Удаленный пользователь может выполнить произвольный код на целевой системе. 16 февраля, 2007 (просмотров: 1457, отзывов: 0) Выполнение произвольного кода в Microsoft Word (обновлено) Удаленный пользователь может выполнить произвольный код на целевой системе. 14 февраля, 2007 (просмотров: 4189, отзывов: 0) Выполнение произвольного кода в Microsoft Word (обновленое) Удаленный пользователь может скомпрометировать целевую систему. 14 февраля, 2007 (просмотров: 3735, отзывов: 0) Повреждение памяти в Microsoft Word (обновлено) Удаленный пользователь может скомпрометировать целевую систему. 14 февраля, 2007 (просмотров: 5121, отзывов: 0) Уязвимость при обработке строк в Microsoft Office (обновлено) Удаленный пользователь может скомпрометировать целевую систему. 13 февраля, 2007 (просмотров: 1878, отзывов: 0) Выполнение произвольного кода в Microsoft Excel (обновлено) Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе. 10 января, 2007 (просмотров: 2463, отзывов: 0)
0 |
1
14-06-2007 14:40:27
Четвёртая дыра с начала года. Всего лишь четвёртая. У мелкософта их - уже десятки, если не сотни. Далее... Я последний раз видел файл формата RTF (вот не соврать бы) пару лет назад. Если не больше.
0 |
14-06-2007 14:44:13
С какого это ты перепугу связал линукс и опенофис? Дыра в опенофисе - это не дыра в линуксе. Запомни, а ещё лучше, запиши.
0 |
1
14-06-2007 16:49:35
в дебиане еще позовчера обновление прошло: http://www.debian.org/security/2007/dsa-1307 DSA-1307-1 openoffice.org -- heap overflow Date Reported: 12 Jun 2007
0 |
1
15-06-2007 13:29:50
> Под такими статьями линуксоиды, рекламирующие ОО, почему-то всегда молчат. Показательно. При чем здесь линуксоиды, если ОпенОффис многие используют и в виндоусе? У линуксоидов как раз проблем и нет, кроме возможного падения OO на документе-эксплоите, т.к. переполнение кучи на линуксе не эксплуатируется(защитный механизм в glibc), а переполнение на стеке возможно лишь теоретически(защитный механизм случайной базы), а пользователям виндоуса без разницы что использовать на дырявой системе - не поломают через дыры в RPC, MSO, IE или ActiveX-компоненте, так взломают через Firefox или OO, только вероятность взлома будет меньше, т.к. дырок в открытом коде значительно меньше, чем в дырявой проприетарщине, сделанной в спешке индусами.
0 |
1
14-06-2007 12:58:31
А что тут говорить, другие платят за дыры а мы их получаем бесплатно )) Да и закрываются они на много быстрее чем микрософтовские
0 |
1
14-06-2007 13:40:15
Просто когда речь идёт о дыре в открытом софте - его пользователи эту дыру латают молча. А когда о дыре в проприетарном - пользователям открытого софта делать, собственно, нечего, вот и обсуждают
0 |
1
14-06-2007 17:37:38
Ну хорошо, запущу я этот несчастный ртф, но я же не под рутом сижу 24 часа в сутки, что мне от ихнего выполнения будет?
0 |
1
14-06-2007 18:52:13
Системе наверняка ничего не будет. Но прикладной софт и прочие файлы в $HOME и других каталогах, доступных на запись, могут пострадать. Если это в домашней системе единственный активно работающий пользователь, то масштабы разрушений от такой уязвимости запросто могут многократно переплюнуть ценность самой системы. Хотя умному пользователю никто не запрещает самому себе ограничить права к мало изменяемой части собственной драгоценной файлопомойки.
0 |
1
15-06-2007 03:56:57
Секлаб опять не блещет информативностью об уязвимостях. Хоть бы линк дали на уязвимость: http://en.securitylab.ru/notification/297511.php Vulnerability : heap overflow Мм да ...,в линуксе максимум что можно сделать, так это задосить ОО, а вот пользователи винды ..., пользователи винды опять нахватают лямблий из всемирного вотерклозета
0 |
15-06-2007 11:14:09
Весь текст жёлтый, но одна фраза меня просто доканывает ;( Т.е. если текст просто желтый (Это уже 4-я критическая уязвимость в OpenOffice 2.x обнаруженная с начала 2007 года- типа посмотрите, какой плохой OOo) - то нормально, читать ещё можно. Но когда в желтом тексте появляется подобный вывод Всем пользователям рекомендуется срочно установить OpenOffice 2.2.1 и не открывать документы из ненадежных источников.то просто пропадает желание открывать странички SLbyPT. IMHO, если это сайт по безопасности, а не утро.ру, то долно быть написано: Решение: - установить версию 2.2.1 или вышеРаньше так и писали. В чем дело?
0 |
1
15-06-2007 11:18:55
Мельчаем... А что поделать...
0 |
Страницы: 1  2