Уязвимост в OpenOffice, която позволява изпълнение на код при отваряне на файл

В офис пакета Apache OpenOffice е идентифицирана уязвимост (CVE-2021-33035), която позволява изпълнение на код при отваряне на специално създаден файл във формат DBF. Изследователят, който откри проблема, предупреди за създаването на работещ експлойт за платформата Windows. Корекцията на уязвимостта в момента е налична само под формата на корекция в хранилището на проекта, която беше включена в тестовите компилации на OpenOffice 4.1.11. Все още няма актуализации за стабилния клон.

Проблемът е причинен от това, че OpenOffice разчита на стойностите fieldLength и fieldType в заглавката на DBF файловете, за да разпредели памет, без да проверява дали действителният тип данни в полетата съвпада. За да извършите атака, можете да посочите тип INTEGER в стойността fieldType, но поставете по-големи данни и задайте стойност fieldLength, която не съответства на размера на данните с типа INTEGER, което ще доведе до опашката на данните от полето, което се записва извън разпределения буфер. В резултат на контролирано препълване на буфера, изследователят успя да предефинира указателя за връщане от функцията и, използвайки техники за програмиране с връщане (ROP - Return-Oriented Programming), да постигне изпълнението на своя код.

Когато използва ROP техниката, атакуващият не се опитва да постави кода си в паметта, а оперира с части от машинни инструкции, които вече са налични в заредените библиотеки, завършвайки с инструкция за връщане на контрол (като правило това са краищата на библиотечните функции) . Работата на експлойта се свежда до изграждане на верига от обаждания към подобни блокове („джаджи“), за да се получи желаната функционалност. Приспособленията, използвани в експлойта на OpenOffice, бяха код от библиотеката libxml2, използвана в OpenOffice, която, за разлика от самия OpenOffice, беше компилирана без механизмите за защита DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization).

Разработчиците на OpenOffice бяха уведомени за проблема на 4 май, след което публично разкриване на уязвимостта беше насрочено за 30 август. Тъй като актуализацията на стабилния клон не беше завършена до планираната дата, изследователят отложи разкриването на подробности за 18 септември, но разработчиците на OpenOffice не успяха да създадат версия 4.1.11 до тази дата. Трябва да се отбележи, че по време на същото изследване беше идентифицирана подобна уязвимост в кода за поддръжка на DBF формат в Microsoft Office Access (CVE-2021–38646), подробностите за която ще бъдат разкрити по-късно. Няма намерени проблеми в LibreOffice.

Източник: opennet.ru