Выпущен неофициальный патч для критической уязвимости в Apache OpenOffice

Выпущен неофициальный патч для критической уязвимости в Apache OpenOffice

Микропатч устраняет уязвимость обхода каталога, позволяющую удаленно выполнить код.

Специалисты компании ACROS Security выпустили неофициальное исправление для свободного пакета офисных приложений Apache OpenOffice, устраняющее уязвимость обхода каталога (CVE-2018-16858), позволяющую удаленно выполнить код.

Уязвимость раскрыл в начале февраля исследователь по кибербезопасности Алекс Инфюр (Alex Inführ). CVE-2018-16858 предоставляла возможность злоумышленнику удаленно выполнить произвольный код в системе, заставив жертву открыть специально созданный вредоносный ODT-файл с гиперссылкой. Для эксплуатации уязвимости Инфюр создал ODT-файл с гиперссылкой, которую он сделал белой с целью скрыть от глаз жертвы. Она содержала событие onmouseover, поэтому, когда жертва наводила курсор мыши в любую часть ссылки, на ее системе выполнялся доступный локально файл Python.

Инфюр отметил наличие уязвимости как в LibreOffice, так и в OpenOffice. Разработчики LibreOffice представили патч менее чем через две недели после получения уведомления. Авторы OpenOffice пока не выпустили никаких исправлений и никак не прокоментировали уязвимость. Специалисты ACROS Security также опубликовали неофициальное исправление для LibreOffice.

Ранее эксперты этой компании выпустили временный патч для опасной уязвимости в Adobe Reader.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!