Por Redacción VSAntivirus
Todas las versiones de OpenOffice.org, entre las 2.0 y 2.4, son afectadas por una vulnerabilidad en el software que compromete la memoria utilizada por el programa. Sería posible ejecutar un código malicioso en el contexto del usuario, aunque no se conoce la existencia de exploits para el problema.Este error ha sido corregido en la versión 2.4.1. La vulnerabilidad fue encontrada por iDefense mediante VCP (Vulnerability Contributor Program), un plan mediante el cuál los investigadores pueden presentar vulnerabilidades y el código que las explota, a cambio de una ganancia económica.
De acuerdo a OpenOffice.org, la vulnerabilidad ocasiona un desbordamiento de la memoria heap (la memoria dinámica del programa), lo que permite que un usuario remoto sin privilegios, llegue a ejecutar comandos arbitrarios en el equipo del usuario, si éste abre un documento de OpenOffice proporcionado por el atacante.
La vulnerabilidad se encuentra en una función del programa de ayuda para personalizar la suite. Cómo OpenOffice.org es un software que funciona en múltiples plataformas, y en todas se ejecuta ésta función, la vulnerabilidad en si misma, podría aprovecharse en todas esas plataformas.
De todo modos, cualquier exploit existente, probablemente debería ser específico para cada plataforma, a los efectos de ser exitoso en su ataque. Son pocas las probabilidades de un ataque multiplataforma.
IMPORTANTE: Al momento de publicarse esta alerta, la última versión en español es la 2.4.0
Más información:
Integer Overflow vulnerability in rtl_allocateMemory()
http://www.openoffice.org/security/cves/CVE-2008-2152.htmlRelacionados:
OpenOffice.org (Home)
http://www.openoffice.org/OpenOffice.org (Español)
http://es.openoffice.org/FuenTe :http://vsantivirus.com/vul-openoffice-cve-2008-2152.htm
Autor