O se faʻafitauli (CVE-2021-33035) ua faʻaalia i totonu o le Apache OpenOffice office suite e faʻatagaina ai le faʻatinoina o tulafono pe a tatalaina se faila faʻapitoa i le DBF format. O le tagata suʻesuʻe na mauaina le faʻafitauli na lapatai mai e uiga i le fatuina o se faʻaoga galue mo le Windows platform. O le faʻafitauli faʻafitauli e naʻo avanoa i le taimi nei i le tulaga o se patch i le fale teu oloa, lea na aofia i totonu o suʻega suʻega a OpenOffice 4.1.11. E leai ni fa'afouga mo le lala mautu.
O le faʻafitauli e mafua mai i le OpenOffice faʻalagolago i le fieldLength ma fieldType values i le ulutala o faila DBF e faʻasoa ai le mafaufau, e aunoa ma le siakiina o le ituaiga faʻamatalaga moni i totonu o fanua e fetaui. Ina ia faia se osofaʻiga, e mafai ona e faʻamaonia se ituaiga INTEGER i le fanuaType tau, ae tuʻu le tele o faʻamatalaga ma faʻamaonia se fanuaLength tau e le fetaui ma le tele o faʻamatalaga ma le INTEGER ituaiga, lea o le a taʻitaʻia ai le siʻusiʻu o faʻamaumauga. mai le fanua o lo'o tusia i tua atu o le pa'u tu'ufa'atasia. O le i'uga o le fa'atonutonuina o le pa'u fa'amama, na mafai ai e le tagata su'esu'e ona toe fa'avasega le fa'asinomaga o le toe fo'i mai le galuega ma, fa'aaoga faiga fa'apolokalame fa'afo'i (ROP - Return-Oriented Programming), ausia le fa'atinoina o lana code.
Pe a faʻaaogaina le ROP technique, e le taumafai le tagata osofaʻi e tuʻu lana code i le mafaufau, ae faʻagaioia i luga o fasi pepa faʻatonuga o loʻo maua i totonu o faletusi faʻapipiʻi, faʻaiʻu i le faʻatonuga o le toe faʻafoʻi mai (o se tulafono, o pito ia o galuega a le faletusi) . O le galuega o le faʻaogaina e oʻo mai i lalo i le fausiaina o se filifili o telefoni i poloka tutusa ("gadgets") e maua ai le faʻatinoga manaʻomia. O gadgets na fa'aaogaina i le OpenOffice exploit o le code mai le libxml2 library na fa'aogaina i OpenOffice, lea, e le pei o OpenOffice lava ia, na tu'ufa'atasia e aunoa ma le DEP (Data Execution Prevention) ma le ASLR (Address Space Layout Randomization).
Na logoina le au atinaʻe OpenOffice e uiga i le mataupu i le aso 4 o Me, ona maeʻa ai lea o se faʻaaliga lautele o le faʻafitauli na faʻatulagaina mo Aukuso 30. Talu ai e leʻi maeʻa le faʻafouga i le lala mautu i le aso faʻatulagaina, na tolopoina e le tagata suʻesuʻe le faʻaalia o faʻamatalaga ia Setema 18, ae e leʻi mafai e le au atinaʻe OpenOffice ona fatuina le faʻamalolo 4.1.11 i lenei aso. E maitauina i le taimi o lea lava suʻesuʻega, na faʻaalia ai se faʻafitauli tutusa i le DBF format support code i le Microsoft Office Access (CVE-2021-38646), o faʻamatalaga o le a faʻaalia mulimuli ane. Leai ni fa'afitauli na maua ile LibreOffice.
puna: opennet.ru