Nella suite per l’ufficio OpenOffice sono state individuate alcune serie vulnerabilità di sicurezza che possono consentire ad un malintenzionato di eseguire del codice a propria scelta.
La prima serie di vulnerabilità è contenuta in libwpd , una libreria open source che consente di aprire documenti WordPerfect da OpenOffice Writer. Un aggressore potrebbe sfruttare la falla per creare un file “.wpd” che, una volta aperto, può causare il crash dell’applicazione ed eventualmente eseguire del codice dannoso.
La seconda falla interessa il foglio di calcolo OpenOffice Calc, ed anche in questo caso il pericolo proviene dall’aprire documenti creati appositamente per generare uno stack overflow ed eseguire codice.
Il terzo bug consiste nell’incorretta gestione, da parte di OpenOffice, dei shell meta character . Un cracker potrebbe approfittarne per indurre un utente a cliccare su un link maligno e subito dopo a lanciare un documento che, se aperto, può eseguire un qualsiasi comando di shell.
In questo advisory FrSIRT afferma che le falle, valutate di gravità critica , interessano le versioni 1.x e 2.x di OpenOffice . Sebbene la società di sicurezza non citi la suite commerciale di Sun, è presumibile che questi problemi affliggano anche StarOffice.
Gli sviluppatori hanno già rilasciato delle patch preliminari che verranno integrate nelle future release stabili di OpenOffice. Nel frattempo è già possibile scaricare una versione corretta di libwpd, la 0.8.9, da qui .