OpenOffice WMF/EMF文件多个整数溢出漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1192302 漏洞类型 数字错误
发布时间 2006-12-31 更新时间 2007-01-21
CVE编号 CVE-2006-5870 CNNVD-ID CNNVD-200612-653
漏洞平台 N/A CVSS评分 9.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200612-653
|漏洞详情
OpenOffice(OOo)是美国阿帕奇(Apache)软件基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。OpenOffice在处理META_ESCAPE记录时存在截尾错误。在svtools\source\filter.vcl\wmf\winwmf.cxx文件中:caseW_META_ESCAPE:...sal_uInt32i,nStringLen,nDXCount;...aMemoryStream>>aPt.X()>>aPt.Y()>>nStringLen;sal_Unicode*pBuf=aString.AllocBuffer((sal_uInt16)nStringLen);for(i=0;i<nStringLen;i++)aMemoryStream>>pBuf[i];nStringLen为sal_uInt32,被放到了sal_uInt16进行分配然后将最初的32位值用作了计数填充缓冲区,因此任何大于0xFFFF的长度都可能导致堆溢出。如果用户受骗打开了恶意的WMF文件或嵌入了该文件的文档(如MicrosoftWord文档)的话,就可能导致通过覆盖函数指针或DWORD执行任意代码。OpenOffice在处理EMR_POLYPOLYGON和EMR_POLYPOLYGON16记录时还存在整数溢出。在svtools\source\filter.vcl\wmf\enhwmf.cxx文件中:caseEMR_POLYPOLYGON:INT32i,nPoly,nGesPoints;...*pWMF>>nPoly>>nGesPoints;...pPtAry=(Point*)newchar[nGesPoints*sizeof(Point)];for(i=0;i<nGesPoints;i++){*pWMF>>nX32>>nY32;pPtAry[i]=Point(nX32,nY32);}如果nGesPoints>(0x100000000/sizeof(Point))的话,nGesPoints*sizeof(Point)就会导致整数回绕。EMR_POLYPOLYGON16记录的情况与上述例子类似。远程攻击者可以通过诱骗用户打开恶意的WMF/EMF文件触发堆溢出,导致执行任意代码。
|参考资料

来源:US-CERT
名称:VU#220288
链接:http://www.kb.cert.org/vuls/id/220288
来源:REDHAT
名称:RHSA-2007:0001
链接:http://www.redhat.com/support/errata/RHSA-2007-0001.html
来源:www.openoffice.org
链接:http://www.openoffice.org/issues/show_bug.cgi?id=70042
来源:issues.rpath.com
链接:https://issues.rpath.com/browse/RPL-905
来源:XF
名称:openoffice-wmf-bo(31257)
链接:http://xforce.iss.net/xforce/xfdb/31257
来源:UBUNTU
名称:USN-406-1
链接:http://www.ubuntu.com/usn/usn-406-1
来源:BUGTRAQ
名称:20070108rPSA-2007-0001-1openoffice.org
链接:http://www.securityfocus.com/archive/1/archive/1/456271/100/100/threaded
来源:BUGTRAQ
名称:20070104HighRiskVulnerabilityintheOpenOfficeandStarOfficeSuites
链接:http://www.securityfocus.com/archive/1/archive/1/455964/100/0/threaded
来源:BUGTRAQ
名称:20070104Correction(HighRiskVulnerabilityintheOpenOfficeandStarOfficeSuites)
链接:http://www.securityfocus.com/archive/1/archive/1/455943/100/0/threaded
来源:BUGTRAQ
名称:20070104Re:[VulnWatch]HighRiskVulnerabilityintheOpenOfficeandStarOfficeSuites
链接:http://www.securityfocus