OpenOfficessa vakavia turva-aukkoja
Kolme OpenOffice-ohjelmiston haavoittuvuutta mahdollistavat vihamielisen koodin ajamisen dokumenttien avulla.
Avoimen lähdekoodin toimisto-ohjelmistosta löydetyt ongelmat ovat StarCalc-sovelluksen parserissa eli jäsentimessä sekä OpenOffice-sovelluksien tavassa käsitellä WordPerfect-dokumentteja.
Pelkkä vihamielisesti muotoillun dokumentin avaaminen mahdollistaa hyökkääjän haluaman koodin ajamisen järjestelmässä. Molemmat haavoittuvuudet johtuvat ylivuototilanteesta dokumentteja avattaessa.
Kolmas haavoittuvuus liittyy erikoismerkkien käsittelyyn, joka mahdollistaa komentojen ajamisen asiakirjaan sijoitetun, tietyllä tavalla muotoillun linkin avulla.
Turva-aukot löysivät Next Generation Security - ja VeriSign iDefense -yhtiöt. Tieto julkaistiin kuitenkin linux-jakelu Debianin tietoturvatiedotteen myötä.
VeriSign iDefensen mukaan WordPerfect-tiedostojen käsittelyä koskevat aukot ovat myös StarOffice-sovelluksissa, jotka ovat Sun Microsystemsin vastine OpenOffice-sovelluksille.
Korjaus saatavissa vasta Debian-linuxiin
Tietoturvayhtiö Secunia luokittelee aukot toiseksi korkeimmalle tasolle eli luokkaan Erittäin kriittinen. Korjauksen valmistumista odotellessa yhtiö suosittelee olemaan avaamatta epäluotettavia OpenOffice-dokumentteja. Haavoittuvuudet on tällä hetkellä korjattu vasta Debianin 1.1.3-9sarge6-nimisessä jakelupaketissa.
Edellisen kerran ohjelmiston turva-aukoista raportoitiin tammikuussa, kun OpenOffice.org-versio 2.1.0 julkaistiin paikkaamaan Windows Metafile- ja Microsoft Enhanced Metafile -kuvatiedostojen käsittelyn kriittiset aukot.
