OpenOffice.orgのTIFF処理に脆弱性--複数OSで影響の恐れ

文:Liam Tung(Special to CNET News.com)
翻訳校正:ラテックス・インターナショナル 2007年09月26日 11時28分

  • このエントリーをはてなブックマークに追加

 セキュリティ専門家が「OpenOffice.org」の脆弱性を発見した。この脆弱性が攻撃者に悪用されると、遠隔地からLinuxやWindows、Macを搭載したコンピュータでコードが実行可能になる恐れがある。

 OpenOffice 2.0.4およびそれ以前のバージョンは、不正に細工されたTIFFファイルに対して脆弱である。こうしたファイルは、電子メールに添付して配布されたり、ウェブサイトに公開されたり、PtoPソフトウェアを介して共有されたりする可能性がある。米国時間9月17日にリリースされた最新バージョンであるOpenOffice 2.3では、この脆弱性の影響を受けない。

 iDefenseの研究員がこの脆弱性を発見し、OpenOfficeのTIFF解析コードに脆弱性が存在すると主張している。

 「特定のタグに対するTIFFディレクトリエントリを解析するときに、パーサがファイルの信頼できない値を使用して割り当てるメモリ量を計算する。そのため細工された値を供給すると、この計算で整数オーバーフローが発生する。そのため、割り当てられるバッファサイズが不十分になり、結果的にヒープオーバーフローが発生する」と、iDefenseのチームは21日に報告している。

 TrustDefenderの共同創設者であるAndreas Baumhof氏は、「この脆弱性によって攻撃者が他人のコンピュータで不正なコードを実行することが可能になる。これはOpenOfficeのバグであり、使用しているOSの種類は関係ない。OpenOfficeを実行しているユーザーと同じ権限で不正なソフトウェアを実行することが可能になる」と述べる。

 「現段階ではこの脆弱性はLinuxにおいてのみ確認されている」とBaumhof氏は語る。「しかし、すべてのOSで影響があるだろう。LinuxとWindowsの違いは、Windowsではホームユーザーが管理者権限で使用していることが多い点だ」

 Symantecは6月、OpenOfficeのユーザーに対し、Mac OS、Windows、Linuxなどの複数のOSで急速に広まっている「Badbunny」というワームに注意するように警告していた。

 Symantecは当時、次のような忠告を掲載した。「新しいワームは悪質なOpenOfficeドキュメントとともに配信されている。このワームはWindows、Linux、およびMac OS Xの各システムに感染する。知らない人から受け取ったOpenOfficeファイルの取り扱いには注意されたい」

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから