OpenOffice: documenti maligni in grado di far danni sul sistema

OpenOffice.org ha confermato la presenza di una vulnerabilità di sicurezza nella sua suite opensource. Un utente malintenzionato, creando uno speciale file .DOC in grado di sfruttare il problema, può causare un errore di buffer overflow ed eseguire codice potenzialmente dannoso sul sistema dell’utente. La vulnerabilità è presente in OpenOffice 1.1.4 (e release precedenti) così come nella versione 2.0 beta.
Come in altri casi analoghi (ricordiamo, a titolo esemplificativo, il problema scoperto nei giorni scorsi in Microsoft Access; ved. questa news), si potrebbe vedere il proprio sistema danneggiato semplicemente aprendo, con OpenOffice, un file .DOC “maligno”.
Il team di sviluppo di OpenOffice.org dichiara di aver già risolto la falla di sicurezza: una patch è al momento in fase di test e verrà rilasciata ufficialmente nelle prossime ore.
Questi tipi di attacchi sono il grimaldello preferito da parte di utenti malintezionati: il concetto consiste nell’inserire codice eseguibile ostile in aree di memoria che un programma sta utilizzzando per gestire dei dati. Se il programma non è sviluppato correttamente, potrebbe considerare il contenuto di quell’area di memoria come una istruzione da eseguire anziché come un dato. In questo modo gli aggressori possono eseguire codice arbitrario sulle macchine-vittima.