L’ultimo aggiornamento a OpenOffice , il 2.0.3, corregge tre vulnerabilità di sicurezza che, nel caso più grave, potrebbero consentire ad un aggressore di ottenere il pieno controllo di un sistema remoto. Questi stessi problemi sono stati corretti da Sun anche in StarOffice e StarSuite.
Uno dei bug sistemati è stato sfruttato recentemente da un virus proof-of-concept per eseguire del codice inglobato all’interno di un documento. Il problema consiste in una non corretta gestione delle macro , che in alcuni casi potrebbero essere eseguite senza alcun preavviso e fornire ad un malintenzionato pieno accesso alle risorse del sistema.
Un’altra falla riguarda un errore nel codice che gestisce le applet Java , sfruttabile da un aggressore per leggere o creare dei file a propria scelta in un sistema remoto.
L’ultima vulnerabilità è causata da un buffer overflow nel codice che elabora i documenti XML , e può essere utilizzato da un cracker per eseguire del codice a sua scelta.
In tutti i casi, la vulnerabilità può essere sfruttata inducendo l’utente ad aprire un documento dannoso.
OpenOffice.org ha annunciato che rilascerà presto anche le patch per le versioni 1.1.x della propria suite.
Nelle prossime settimane verrà rilasciata anche la versione localizzata in italiano di OpenOffice 2.0.3, attualmente disponibile solo in inglese e poche altre lingue. Sun ha corretto i bug nelle versioni 6, 7 e 8 di StarOffice e 7 e 8 di StarSuite: i link alle patch è contenuto in questo advisory di FrSIRT.
La pericolosità delle tre falle è stata valutata “critica” da FrSIRT e “moderata” da Secunia .
OpenOffice 2.0.3 corregge e migliora un elevato numero di altri aspetti del software: l’elenco di tutte le modifiche si trova qui .
Ti potrebbe interessare
3 lug 2006