来源:cnet
OpenOffice.org为同名的开放源代码套装软件修补三项安全缺失。
该公司上周的快报指出,恶意制作的Java小程序可突破OpenOffice 1.1.x和2.0.x的沙箱(执行非信任程序的安全机制)。恶意软件有可能借此完全控制系统,任意读取或发送私人信息,和摧毁或替换文件。
第二个漏洞能让黑客利用文件开启时执行的宏指令,将可执行的源代码植入OpenOffice文件中。在使用者完全无知的情况下,恶意宏指令借由使用者的权限完整存取系统资源,同样可以读取或发送私人信息,和摧毁或替换文件。
NGS Software公司的Wade Alcorn也发现一个缓冲区溢流弱点,可造成记忆超载和程序失效,进而招致黑客攻击。
使用者可暂时关闭OpenOffice的Java程序支持,防堵第一个安全漏洞。宏指令和缓冲区溢流问题则没有回避的方法。虽然OpenOffice.org表示,目前没有发现相关的攻击程序,该公司仍呼吁所有2.0.2之前的2.0.x版使用者,尽速升级到OpenOffice 2.0.3;OpenOffice 1.1.5的使用者目前尚无修补程序,但会在“短期内”备妥。
安全企业Secunia表示,这三项弱点也影响StarOffice 6.x、7.x和8.x各版,及StarSuite 7.x和8.x各版。这两项都是Sun公司的商用办公软件,且均采用与OpenOffice相同的基础源代码。StarOffice和StarSuite 7.x与8.x各版现在都有修补程序供下载。
OpenOffice.org 5日表示,由于该套装软件日渐受欢迎,才会成为黑客的目标,但该公司的结构可以比微软等专有软件商,更快速地反应这类威胁。OpenOffice.org营销企划的共同指导Christian Driga说:“我相信任何软件,在日渐普及后,都可能成为黑客的目标。但这有赖于组织的反应有多迅速。通过开放的社区,我们有这么多使用者随时通报任何问题,而我们的开发员非常迅速地反应,我们的修补时间快过微软。”
Driga不认为这些弱点曝光会损害OpenOffice的商誉。他说:“我们有一个24小时待命的安全团队处理这类弱点--还有开放源代码社区。我们的反应速度能防止名声受损。”