Risque
- Exécution de code arbitraire
Systèmes affectés
- libreOffice versions antérieures à la 3.5.3.
- OpenOffice version 3.3, 3.4 Beta et antérieures ;
Résumé
Trois vulnérabilités ont été corrigées dans OpenOffice et deux dans LibreOffice. La première est un débordement d'entier dans « vclmi.dll » et provoque un débordement de mémoire tampon dans le tas. Une image JPEG spécialement conçue dans un fichier DOC peut être utilisée pour exploiter cette vulnérabilité. La deuxième concerne le format WPD et permet l'exécution de code arbitraire. La troisième ajoute des vérifications d'allocations mémoire lors de l'utilisation d'éléments graphiques dans un document de type POWERPOINT.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité LibreOffice CVE-2012-1149 du 16 mai 2012 : http://www.libreoffice.org/advisories/cve-2012-1149/
- Bulletin de sécurité LibreOffice CVE-2012-2334 du 16 mai 2012 : http://www.libreoffice.org/advisories/cve-2012-2334/
- Bulletin de sécurité OpenOffice CVE-2012-1149 du 16 mai 2012 : http://www.openoffice.org/security/cves/CVE-2012-1149.html
- Bulletin de sécurité OpenOffice CVE-2012-2149 du 16 mai 2012 : http://www.openoffice.org/security/cves/CVE-2012-2149.html
- Bulletin de sécurité OpenOffice CVE-2012-2334 du 16 mai 2012 : http://www.openoffice.org/security/cves/CVE-2012-2334.html
- Référence CVE CVE-2012-1149 https://www.cve.org/CVERecord?id=CVE-2012-1149
- Référence CVE CVE-2012-2149 https://www.cve.org/CVERecord?id=CVE-2012-2149
- Référence CVE CVE-2012-2334 https://www.cve.org/CVERecord?id=CVE-2012-2334
