日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
OpenOffice 漏洞使用戶面臨代碼執(zhí)行攻擊,修復(fù)仍在測試階段

Apache OpenOffice 中的一個緩沖區(qū)溢出漏洞可讓攻擊者通過使用惡意文檔在目標(biāo)設(shè)備上執(zhí)行任意代碼。

按需定制可以根據(jù)自己的需求進(jìn)行定制,成都網(wǎng)站設(shè)計、網(wǎng)站制作構(gòu)思過程中功能建設(shè)理應(yīng)排到主要部位公司成都網(wǎng)站設(shè)計、網(wǎng)站制作的運用實際效果公司網(wǎng)站制作網(wǎng)站建立與制做的實際意義

該漏洞被追蹤為 CVE-2021-33035,由 GovTech Singapore Cyber Security Group 的安全研究員 Eugene Lim 發(fā)現(xiàn),該漏洞影響到 OpenOffice 4.1.10 之前的所有版本,目前僅有 4.1.11 測試版中部署了相關(guān)補丁??紤]到 OpenOffice 已有數(shù)億次的下載,這意味著在全球范圍內(nèi)目前有眾多用戶受到該漏洞的影響,OpenOffice 最后一次正式更新是在今年 5 月。

安全研究員 Eugene Lim 表示,該問題是在研究解析 .dbf 文件格式的軟件中的潛在安全漏洞時所發(fā)現(xiàn)的。

OpenOffice 上的問題是一個緩沖區(qū)溢出,它的存在基本上是因為 DBF 文件的緩沖區(qū)大小是由 header 中的 fieldLength 或 fieldType 決定的。因此,如果在分配緩沖區(qū)時信任其中一個,而在復(fù)制到該緩沖區(qū)時信任另一個,就可能引發(fā)溢出。

但是,由于 OpenOffice 有諸如 ASLR 和 DEP 等保護(hù)措施,對于一個返回導(dǎo)向編程(ROP)鏈來說,也需要繞過這些保護(hù)。

不過,通過研究人員的進(jìn)一步的分析顯示,OpenOffice 套件中的 libxml2 模塊在編譯時沒有使用 DEP 或 ASLR 保護(hù),研究人員最終能夠使用一個特制的 .dbf 文件來利用這個漏洞。

OpenOffice 是一個開源的應(yīng)用程序,這意味著它可能被許多代碼分析器和安全研究人員掃描過,但這個問題此前一直沒有被發(fā)現(xiàn)。之所以這么久都沒有發(fā)現(xiàn)該漏洞,Eugene Lim 表示,這是因為 LGTM 等掃描器通常只查找分析套件中的 Python 和 JavaScript 代碼,而沒有檢查 C++ 代碼,而該漏洞就在那里。

這表明了自動化靜態(tài)分析工具的重要性;如果你的工具不知道代碼的存在,它就無法發(fā)現(xiàn)這些漏洞。

這位安全研究員在 5 月份報告了這個漏洞,Apache 已在 GitHub 上更新了 OpenOffice 的源代碼,但目前僅在測試版中更新了補丁,暫時還沒有在穩(wěn)定版本中提供。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題:OpenOffice 漏洞使用戶面臨代碼執(zhí)行攻擊,修復(fù)仍在測試階段

本文地址:https://www.oschina.net/news/161211/apache-openoffice-rce


分享題目:OpenOffice 漏洞使用戶面臨代碼執(zhí)行攻擊,修復(fù)仍在測試階段
文章位置:http://www.5511xx.com/article/cojsgdh.html