'n Kwesbaarheid (CVE-2021-33035) is in die Apache OpenOffice-kantoorpakket geïdentifiseer wat die uitvoering van kode moontlik maak wanneer 'n spesiaal ontwerpte lêer in die DBF-formaat oopgemaak word. Die navorser wat die probleem ontdek het, het gewaarsku oor die skep van 'n werkende uitbuiting vir die Windows-platform. Die kwesbaarheidsoplossing is tans slegs beskikbaar in die vorm van 'n pleister in die projekbewaarplek, wat ingesluit is in die toetsbou van OpenOffice 4.1.11. Daar is nog geen opdaterings vir die staltak nie.
Die probleem word veroorsaak deur OpenOffice wat staatmaak op die veldlengte- en veldtipe-waardes in die kop van die DBF-lêers om geheue toe te ken, sonder om te kyk of die werklike datatipe in die velde ooreenstem. Om 'n aanval uit te voer, kan jy 'n INTEGER tipe in die veldType-waarde spesifiseer, maar plaas groter data en spesifiseer 'n veldLength-waarde wat nie ooreenstem met die grootte van die data met die INTEGER-tipe nie, wat sal lei tot die stert van die data vanaf die veld wat verder as die toegekende buffer geskryf word. As gevolg van 'n beheerde bufferoorloop kon die navorser die terugkeerwyser van die funksie herdefinieer en, deur gebruik te maak van Return-Oriented Programming (ROP) tegnieke, die uitvoering van sy kode te bereik.
Wanneer die ROP-tegniek gebruik word, probeer die aanvaller nie om sy kode in die geheue te plaas nie, maar werk op stukke masjieninstruksies wat reeds in gelaaide biblioteke beskikbaar is, wat eindig met 'n kontrole-terugstuur-instruksie (as 'n reël is dit die eindes van biblioteekfunksies) . Die werk van die ontginning kom daarop neer om 'n ketting oproepe na soortgelyke blokke ("gadgets") te bou om die gewenste funksionaliteit te verkry. Die gadgets wat in die OpenOffice-ontginning gebruik is, was kode van die libxml2-biblioteek wat in OpenOffice gebruik is, wat, anders as OpenOffice self, saamgestel is sonder die DEP (Data Execution Prevention) en ASLR (Address Space Layout Randomization) beskermingsmeganismes.
OpenOffice-ontwikkelaars is op 4 Mei van die kwessie in kennis gestel, waarna 'n openbare bekendmaking van die kwesbaarheid vir 30 Augustus geskeduleer is. Aangesien die opdatering van die stabiele tak nie teen die geskeduleerde datum voltooi is nie, het die navorser die bekendmaking van besonderhede tot 18 September uitgestel, maar die OpenOffice-ontwikkelaars het nie daarin geslaag om vrystelling 4.1.11 teen hierdie datum te skep nie. Dit is opmerklik dat tydens dieselfde navorsing 'n soortgelyke kwesbaarheid geïdentifiseer is in die DBF-formaat ondersteuningskode in Microsoft Office Access (CVE-2021–38646), waarvan die besonderhede later bekend gemaak sal word. Geen probleme gevind in LibreOffice nie.
Bron: opennet.ru