CERT-FI haavoittuvuustiedote 131/2008

29.10.2008

Haavoittuvuus OpenOffice- ja StarOffice-ohjelmistoissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

OpenOffice-ohjelmistosta on korjattu kaksi haavoittuvuutta. Korjatut haavoittuvuudet liittyvät WMF ja EMF -tiedostomuotojen käsittelyyn ja johtuvat puutteellisista tarkistuksista, jotka mahdollistavat pinossa tapahtuvan muistin ylivuodon.

Haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista suorittaa omia komentojaan OpenOfficen käynnistäneen käyttäjän käyttöoikeustasolla. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan pahantahtoisesti muotoiltu dokumentti haavoittuvalla ohjelmistoversiolla.

HAAVOITTUVAT OHJELMISTOT:

• OpenOffice 2 ennen versiota 2.4.2
• StarOffice 7 ja StarSuite 7 ennen päivitystä 13
• StarOffice 8 ja StarSuite 8 ennen päivitystä 13

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Asenna haavoittuuksien korjaukset sisältävä OpenOffice-versio 2.4.2 tai StarOfficen päivitykset valmistajan ohjeen mukaisesti.

LISÄTIETOA:

• http://www.openoffice.org/security/cves/CVE-2008-2237.html
• http://www.openoffice.org/security/cves/CVE-2008-2238.html
• http://www.openoffice.org/security/cves/CVE-2008-2238.html
• http://www.openoffice.org/security/cves/CVE-2008-2237.html
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-243226-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-242627-1
  

PÄIVITYSHISTORIA:

29.10.2008, kello 14.00: Julkaistu
16.11.2008, kello 10.40: Lisätty maininta StarOfficen päivityksistä

Sivua päivitetty 16.11.2008

Tulostusversio