亚特兰蒂斯文字处理器发现3个新的代码执行缺陷

这就是为什么在打开看似无辜的电子邮件附件，尤其是word和pdf文件之前，你应该三思而后行的原因。

Cisco Talos的网络安全研究人员再次发现了网络中的多个关键安全漏洞文字处理软件允许远程攻击者执行任意代码并接管受影响的计算机。

Atlantis文字处理器是Microsoft Word的替代品，是一款快速加载的文字处理器应用程序，用户可以轻松创建、阅读和编辑Word文档。它还可以用于将TXT、RTF、ODT、DOC、WRI或DOCX文档转换为ePub。

在Atlantis Word Processor早期版本中发现8个代码执行漏洞50天后，Talos团队今天披露了应用程序中另外3个远程代码执行漏洞的详细信息和概念验证漏洞。

下面列出的所有三个漏洞都允许攻击者破坏应用程序的内存，并在应用程序的上下文中执行任意代码。

• 缓冲区大小的计算不正确(CVE-2018-4038)— Atlantis Word Processor的open document format parser中存在一个可利用的任意写入漏洞，该漏洞在尝试以null结尾字符串时被攻击。
• 数组索引验证不正确(CVE-2018-4039)— 的PNG实现中存在越界写入漏洞。
• 未初始化变量的使用(CVE-2018-4040)— 亚特兰蒂斯文字处理器的富文本格式解析器中存在可利用的未初始化指针漏洞。

所有这些漏洞都会影响亚特兰蒂斯文字处理器版本3.2.7.1、3.2.7.2，可以通过说服受害者打开精心编制的恶意诱杀文件来利用这些漏洞。

Talos研究人员负责地向受影响软件的开发人员报告了所有漏洞，他们现在发布了解决这些问题的更新版本3.2.10.1。

如果您还没有，强烈建议您将文字处理软件更新到最新版本，有兴趣了解更多有关这些问题的安全爱好者可以访问Talos博客了解技术细节。

要防止自己成为利用此类漏洞的攻击的受害者，最简单的方法是永远不要打开来自未知或不受信任来源的电子邮件中提供的任何文档。