OpenOffice.orgは同プロジェクトのオープンソースOfficeスイートのバージョン2.0から2.4に影響のある「きわめて深刻(Highly Critical)」な脆弱性に対する修正を公開した。
Secuniaの勧告によれば、このセキュリティホールを悪用すると、特別に作成された文書ファイルを使ったコード実行攻撃を行うことができる。
OpenOffice.orgの警告には、次のようにある。
OpenOffice.orgのメモリ割り当てのためのカスタム関数の脆弱性から、ヒープオーバーフローが起こる可能性があり、遠隔の特権を持たないユーザーがOpenOffice.org文書を送って、その文書をローカルユーザーが開かせることで、OpenOffice.orgを実行しているユーザーの特権で任意のコマンドを実行されることがあり得る。現在のところ実際に動作する攻撃コードの存在は知られていない。
Secuniaは、この脆弱性は「rtl_allocateMemory()」にある整数オーバーフローエラーによって引き起こされるもので、これを悪用すると特別に作成された文書からヒープバッファオーバーフローを引き起こすことが可能だとしている。
次の記事も参照して欲しい。Sun patchvertising OpenOffice with Java update
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
