OpenOffice.org為同名的開放源代碼套裝軟件修補三項安全缺失。
該公司上周的快報指出,惡意制作的Java小程序可突破OpenOffice 1.1.x和2.0.x的沙箱(執行非信任程序的安全機制)。惡意軟件有可能借此完全控制系統,任意讀取或發送私人信息,和摧毀或替換文件。
第二個漏洞能讓黑客利用文件開啟時執行的宏指令,將可執行的源代碼植入OpenOffice文件中。在使用者完全無知的情況下,惡意宏指令借由使用者的權限完整存取系統資源,同樣可以讀取或發送私人信息,和摧毀或替換文件。
NGS Software公司的Wade Alcorn也發現一個緩沖區溢流弱點,可造成記憶超載和程序失效,進而招致黑客攻擊。
使用者可暫時關閉OpenOffice的Java程序支持,防堵第一個安全漏洞。宏指令和緩沖區溢流問題則沒有回避的方法。雖然OpenOffice.org表示,目前沒有發現相關的攻擊程序,該公司仍呼吁所有2.0.2之前的2.0.x版使用者,盡速升級到OpenOffice 2.0.3;OpenOffice 1.1.5的使用者目前尚無修補程序,但會在“短期內”備妥。
安全企業Secunia表示,這三項弱點也影響StarOffice 6.x、7.x和8.x各版,及StarSuite 7.x和8.x各版。這兩項都是Sun公司的商用辦公軟件,且均采用與OpenOffice相同的基礎源代碼。StarOffice和StarSuite 7.x與8.x各版現在都有修補程序供下載。
OpenOffice.org 5日表示,由於該套裝軟件日漸受歡迎,才會成為黑客的目標,但該公司的結構可以比微軟等專有軟件商,更快速地反應這類威脅。OpenOffice.org營銷企劃的共同指導Christian Driga說:“我相信任何軟件,在日漸普及後,都可能成為黑客的目標。但這有賴於組織的反應有多迅速。通過開放的社區,我們有這麼多使用者隨時通報任何問題,而我們的開發員非常迅速地反應,我們的修補時間快過微軟。”
Driga不認為這些弱點曝光會損害OpenOffice的商譽。他說:“我們有一個24小時待命的安全團隊處理這類弱點—還有開放源代碼社區。我們的反應速度能防止名聲受損。”
賽迪網
