Linuxeden开源社区
据 securityweek 报道,思科 Talos 的研究人员在 Apache OpenOffice 中发现了三个漏洞,可以利用特制的文档文件远程执行代码。
Talos 将漏洞标记为“高危”,CVSS 得分为 8.3 ;但该开源软件的开发人员将其严重等级标记为为“中等”。
据悉,此次发现的漏洞编号分别为 CVE-2017-9806、CVE-2017-12607 和 CVE-2017-12608 ,影响了 Writer 应用的 WW8Fonts 和 ImportOldFormatStyles 组件,以及 Draw 应用中的 PPTStyleSheet 功能。
攻击者可以创建触发超出写入(out-of-bounds write)的特殊文档,这些文档可以用于使应用程序进入拒绝服务(DoS)条件并导致崩溃或执行任意代码的状态。
这些漏洞影响 Apache OpenOffice 4.1.3 及更早的版本,Apache 软件基金会在前端时间发布的 4.1.4 版本中已包含补丁,建议尽快升级。
转自 http://www.oschina.net/news/90107/code-execution-flaws-patched-apache-openoffice