Выпущен неофициальный патч для критической уязвимости в Apache OpenOffice

image

Теги: Apache OpenOffice, патч, критическая уязвимость

Микропатч устраняет уязвимость обхода каталога, позволяющую удаленно выполнить код.

Специалисты компании ACROS Security выпустили неофициальное исправление для свободного пакета офисных приложений Apache OpenOffice, устраняющее уязвимость обхода каталога (CVE-2018-16858), позволяющую удаленно выполнить код.

Уязвимость раскрыл в начале февраля исследователь по кибербезопасности Алекс Инфюр (Alex Inführ). CVE-2018-16858 предоставляла возможность злоумышленнику удаленно выполнить произвольный код в системе, заставив жертву открыть специально созданный вредоносный ODT-файл с гиперссылкой. Для эксплуатации уязвимости Инфюр создал ODT-файл с гиперссылкой, которую он сделал белой с целью скрыть от глаз жертвы. Она содержала событие onmouseover, поэтому, когда жертва наводила курсор мыши в любую часть ссылки, на ее системе выполнялся доступный локально файл Python.

Инфюр отметил наличие уязвимости как в LibreOffice, так и в OpenOffice. Разработчики LibreOffice представили патч менее чем через две недели после получения уведомления. Авторы OpenOffice пока не выпустили никаких исправлений и никак не прокоментировали уязвимость. Специалисты ACROS Security также опубликовали неофициальное исправление для LibreOffice.

Ранее эксперты этой компании выпустили временный патч для опасной уязвимости в Adobe Reader.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.