Les attaquants pouvaient injecter aux utilisateurs du pack bureautique OpenOffice des documents préparés et ainsi lancer des attaques. Si les victimes ouvrent le fichier, un code malveillant peut s’introduire dans l’ordinateur. Pour l’instant, il n’existe qu’une version bêta qui est protégée contre de telles attaques.

Un chercheur en sécurité du Cyber Security Group de Singapour met en garde contre cette faille (CVE-2021-33035). Selon lui, en raison d’une vulnérabilité dans le format de fichier dbf, il a réussi à déclencher une erreur de mémoire sous Windows et à exécuter ainsi un code malveillant. Jusqu’à présent, le niveau de menace posé par la brèche n’a apparemment pas encore été classifié.

Dans un rapport détaillé, il explique comment il a pu contourner les mécanismes de protection ASLR et DEP avec l’analyseur XML libxml2, qui n’est pas protégé contre les erreurs de mémoire. Selon lui, son exploit fonctionne jusqu’à la version actuelle d’OpenOffice, la 4.1.10. Il existe déjà un correctif de sécurité, mais il n’est pour l’instant disponible que sur le site web de l’entreprise. Edition bêta 4.1.11 mis en œuvre. La version corrigée doit suivre dans le courant du mois.

(des)