OpenOffice修補三漏洞

| | | | | | 留下回應

    

OpenOffice.org為同名的開放原始碼套裝軟體修補三項安全缺失。

該公司上週的快報指出，惡意製作的Java小程式可突破OpenOffice 1.1.x和2.0.x的沙箱（執行非信任程式的安全機制）。惡意軟體有可能藉此完全控制系統，任意讀取或發送私人資料，和摧毀或替換檔案。

第二個漏洞能讓駭客利用文件開啟時執行的巨集指令，將可執行的程式碼植入OpenOffice文件中。在使用者完全無知的情況下，惡意巨集藉由使用者的權限完整存取系統資源，同樣可以讀取或發送私人資料，和摧毀或替換檔案。

NGS Software公司的Wade Alcorn也發現一個緩衝區溢流弱點，可造成記憶超載和程式失效，進而招致駭客攻擊。

使用者可暫時關閉OpenOffice的Java程式支援，防堵第一個安全漏洞。巨集指令和緩衝區溢流問題則沒有迴避的方法。雖然OpenOffice.org表示，目前沒有發現相關的攻擊程式，該公司仍呼籲所有2.0.2之前的2.0.x版使用者，儘速升級到OpenOffice 2.0.3；OpenOffice 1.1.5的使用者目前尚無修補程式，但會在「短期內」備妥。

安全業者Secunia表示，這三項弱點也影響StarOffice 6.x、7.x和8.x各版，及StarSuite 7.x和8.x各版。這兩項都是昇陽公司的商用辦公軟體，且均採用與OpenOffice相同的基礎程式碼。StarOffice和StarSuite 7.x與8.x各版現在都有修補程式供下載。

OpenOffice.org 5日表示，由於該套裝軟體日漸受歡迎，才會成為駭客的目標，但該公司的結構可以比微軟等專有軟體商，更快速地反應這類威脅。OpenOffice.org行銷企畫的共同指導Christian Driga說：「我相信任何軟體，在日漸普及後，都可能成為駭客的目標。但這有賴於組織的反應有多迅速。透過開放的社群，我們有這麼多使用者隨時通報任何問題，而我們的開發員非常迅速地反應，我們的修補時間快過微軟。」

Driga不認為這些弱點曝光會損害OpenOffice的商譽。他說：「我們有一個24小時待命的安全團隊處理這類弱點—還有開放原始碼社群。我們的反應速度能防止名聲受損。」（陳智文）