Se descubren dos vulnerabilidades críticas en StarOffice y OpenOffice

Dos agujeros de seguridad en las suites de aplicaciones StarOffice de Sun Microsystems y OpenOffice de OpenOffice.org abren la puerta para que los atacantes tomen el control de los equipos de sus usuarios mediante documentos y URLs maliciosas, según han advertido ambas organizaciones.

Las vulnerabilidades de StarOffice, ambas valoradas como “altamente críticas” por la firma de seguridad Secunia, se encuentran en su hoja de cálculo StarCalc y en la forma en que la suite maneja URLs, según Sun. Ninguna de ellas ha sido aún parcheada, y Sun de momento no ha ofrecido ningún sistema provisional de defensa. Tampoco ha fijado una fecha para la introducción de un parche capaz de cubrirlas.

La compañía ha explicado que “la forma en que las versiones 6, 7, y 8 de StarOffice/StarSuite procesan documentos StarCalc 1.0 (.sdc) puede permitir a usuarios remotos sin privilegios (ofreciendo un documento StarCalc que sea abierto por un usuario local) ejecuten comandos arbitrarios sobre el sistema con los privilegios del usuario que utilice StarOffice/StarSuite”.

Por otra parte, ha informado que “la manera en que StarOffice/StarSuite 6,7 y 8 procesan hipervínculos (URLs) en documentos permite a un usuario remoto sin privilegios ofrecer un documento StarOffice/StarSuite que, una vez abierto por un usuario local, ejecutar comandos arbitrarios en el sistema con los mismos privilegios que el usuario legítimo”.

Ambas vulnerabilidades afectan también a la suite OpenOffice de OpenOffice.org, según ha reconocido el desarrollador de esta aplicación open-source, que comparte el código base con StarOffice. La organización no ha desarrollado tampoco parches en las versiones del producto utilizadas actualmente en producción, pero sí en la última versión candidata (RC) de OpenOffice 2.2.