Una vulnerabilidad ha sido reportada en OpenOffice, la conocida suite de oficina de uso libre, que permite que un usuario local pueda acceder a documentos que pertenecen a otros usuarios. El problema también afecta a StarOffice, la versión de pago.
OpenOffice y StarOffice, incluyen procesador de textos, hoja de cálculo, bases de datos, edición HTML, presentaciones, creación y tratamiento de gráficos, etc.
La vulnerabilidad detectada, está relacionada con el uso que estas aplicaciones hacen de los archivos temporales.
Al iniciarse el programa, se crea un directorio temporal con permisos de lectura del tipo "/TMP/SV???.TMP", donde "???" son tres caracteres al azar.
Al grabarse un archivo o documento creado o editado por el programa, una versión comprimida en formato ZIP es almacenada en dicho directorio.
Al tener esa carpeta los permisos de lectura habilitados para todos los usuarios, cualquiera de ellos puede acceder a la misma, y obtener así esos archivos, aún cuando no sean documentos creados por él.
Existe una actualización del producto que soluciona este problema. Sun también ha publicado la solución para StarOffice.
El fallo afecta solo a usuarios de las versiones para Linux y Unix.
Relacionados:
(Sun Issues Fix for StarOffice) OpenOffice World-Readable
Temporary Files Disclose Files to Local Users
http://www.securitytracker.com/alerts/2004/Sep/1011206.html
No hay comentarios.:
Publicar un comentario