OpenOffice ODF文档信息泄露漏洞

漏洞起因
设计错误
危险等级

影响系统
OpenOffice 3.4 Beta
OpenOffice 3.3

不受影响系统
OpenOffice 3.4 Developer Snapsh

危害
远程攻击者可以利用漏洞获得敏感信息。

攻击所需条件
攻击者必须构建恶意XML数据,诱使应用程序解析。

漏洞信息
OpenOffice是一款开放源代码的文字处理系统。
OpenOffice.org存在一个XML外部实体攻击,处理ODF文档中某些XML组件中的外部实体时存在漏洞,通过构建外部实体引用其他本地文件系统资源,攻击者可以无需用户交互把本地内容注入到ODF文档中,导致信息泄露。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.openoffice.org/security/cves/CVE-2012-0037.html

漏洞提供者
Timothy D. Morgan

评论关闭。