פגיעות ב-OpenOffice המאפשרת ביצוע קוד בעת פתיחת קובץ

זוהתה פגיעות (CVE-2021-33035) בחבילת המשרד של Apache OpenOffice המאפשרת ביצוע קוד בעת פתיחת קובץ שתוכנן במיוחד בפורמט DBF. החוקר שגילה את הבעיה הזהיר מפני יצירת ניצול עובד עבור פלטפורמת Windows. תיקון הפגיעות זמין כרגע רק בצורה של תיקון במאגר הפרויקטים, שנכלל בבניית הבדיקה של OpenOffice 4.1.11. אין עדיין עדכונים לסניף היציב.

הבעיה נגרמת מכך ש-OpenOffice מסתמכת על ערכי fieldLength ו-fieldType בכותרת של קבצי DBF כדי להקצות זיכרון, מבלי לבדוק שסוג הנתונים בפועל בשדות תואם. כדי לבצע תקיפה, ניתן לציין סוג INTEGER בערך fieldType, אך למקם נתונים גדולים יותר ולציין ערך fieldLength שאינו מתאים לגודל הנתונים עם סוג INTEGER, מה שיוביל לזנב הנתונים מהשדה שנכתב מעבר למאגר שהוקצה. כתוצאה מהצפת מאגר מבוקר, הצליח החוקר להגדיר מחדש את מצביע ההחזרה מהפונקציה ובאמצעות טכניקות תכנות מוכוונות החזרה (ROP - Return-Oriented Programming), להשיג את ביצוע הקוד שלו.

בעת שימוש בטכניקת ROP, התוקף לא מנסה למקם את הקוד שלו בזיכרון, אלא פועל על פיסות של הוראות מכונה שכבר זמינות בספריות טעונות, המסתיימות בהוראה להחזרת בקרה (ככלל, אלו הם הקצוות של פונקציות הספרייה) . עבודת הניצול מסתכמת בבניית שרשרת קריאות לבלוקים דומים ("גאדג'טים") כדי להשיג את הפונקציונליות הרצויה. הגאדג'טים ששימשו ב-OpenOffice Exploit היו קוד מספריית libxml2 המשמשת ב-OpenOffice, שבניגוד ל-OpenOffice עצמה, הורכבה ללא מנגנוני ההגנה DEP (Data Execution Prevention) ו-ASLR (Address Space Layout Randomization).

מפתחי OpenOffice קיבלו הודעה על הבעיה ב-4 במאי, ולאחר מכן חשיפה פומבית של הפגיעות נקבעה ל-30 באוגוסט. מאחר שהעדכון לסניף היציב לא הושלם במועד המתוכנן, החוקר דחה את חשיפת הפרטים ל-18 בספטמבר, אך מפתחי OpenOffice לא הצליחו ליצור מהדורה 4.1.11 עד לתאריך זה. ראוי לציין שבמהלך אותו מחקר, זוהתה פגיעות דומה בקוד התמיכה בפורמט DBF ב-Microsoft Office Access (CVE-2021–38646), שפרטיה ייחשפו בהמשך. לא נמצאו בעיות ב-LibreOffice.

מקור: OpenNet.ru