他們在 Apache OpenOffice 中發現了一個嚴重漏洞

幾天前 披露了一個漏洞 已確定 在 Apache OpenOffice 辦公套件中，這個錯誤列在 CVE-2021，33035 允許在打開 DBF 格式的特製文件時執行代碼。

問題 這是因為 OpenOffice 依賴於 fieldLength 和 fieldType 值 在 DBF 文件的頭中分配內存而不檢查字段中的實際數據類型。

關於漏洞

要進行攻擊， 您可以在 fieldType 值中指定 INTEGER 類型，但放置更大的數據 並指定與INTEGER數據大小不對應的fieldLength值，會導致字段的隊列數據被寫出分配的緩衝區。

由於受控緩衝區溢出，研究人員能夠重新定義函數的返回指針並使用面向返回編程（ROP）技術，實現他的代碼的執行。

我在漏洞研究之旅的早期收到的一條建議是關注文件格式，而不是特定的軟件。 這種方法有兩個主要優點。 首先，作為初學者，您缺乏在單個應用程序中快速識別獨特攻擊向量的經驗，而文件格式分析往往是許多應用程序的共同切入點。 

此外，使用徵求意見稿 (RFC) 或開源代碼對常見文件格式進行了詳細記錄，從而減少了對格式進行逆向工程所需的工作量。.

使用 ROP 技術時，攻擊者不會嘗試將其代碼放入內存中，而是 對部分進行操作 已在加載的庫中可用的機器指令， 以控制返回語句結尾（通常，這些是函數庫的結尾）。

漏洞利用的工作歸結為構建調用鏈 到類似的塊（“小工具”） 獲得所需的功能.

作為 OpenOffice 漏洞利用中的小工具，提到使用了 OpenOffice 中使用的 libxml2 庫中的代碼，與 OpenOffice 不同的是，該代碼在沒有 DEP（數據執行保護）和 ASLR（地址空間）保護機制的情況下組裝。佈局隨機化）。

4 月 XNUMX 日，OpenOffice 開發人員收到了有關該問題的通知， 之後，該漏洞的公開披露時間定於 30 月 XNUMX 日。

由於穩定分支在日期沒有更新 計劃，和調查人員將細節的發布推遲到18月XNUMX日， 但是 OpenOffice 開發人員當時沒有時間構建 4.1.11 版本。 需要注意的是，在同一項研究過程中，微軟Office Access中支持DBF格式的代碼中也發現了類似的漏洞（CVE-2021-38646），詳細信息將在後面披露。 在 LibreOffice 中沒有發現問題。

dBase 的文件格式文檔相對容易找到； 維基百科對該格式的第 5 版有一個簡單的描述，dBase LLC 也提供了更新的規範。 國會圖書館列出了令人難以置信的文件格式目錄，包括 DBF。 DBF 格式的各種版本和擴展為程序員引入掃描漏洞提供了充足的機會。

DBF 格式由兩個主要部分組成：標題和正文。 標頭包括描述 dBase 數據庫版本、上次更新時間戳和其他元數據的前綴。 更重要的是，它指定了數據庫中每條記錄的長度、頭結構的長度、記錄的數量以及一條記錄中的數據字段。

發現問題的研究人員 警告關於為 Windows 平台創建功能性漏洞利用. 該漏洞的修復程序僅作為項目存儲庫中的補丁提供，該項目存儲庫包含在 OpenOffice 4.1.11 測試版本中。

最後，如果您有興趣了解更多信息，可以查閱原始註釋： 以下鏈接。