OpenOffice: krytyczna luka załatana

Twórcy open-source'owego pakietu biurowego OpenOffice udostępnili właśnie jego najnowsze wydanie, oznaczone numerem 2.3.1. Załatano w nim poważny błąd związany z "silnikiem" bazodanowym HSQLDB - luka ta pozwala na uruchomienie w systemie niebezpiecznego kodu i przejęcie pełnej kontroli nad nim.

Przedstawiciele OpenOffice.org zalecają użytkownikom pakietu jak najszybsze uaktualnienie oprogramowania do najnowszej wersji. Na atak narażone są wszystkie wydania wcześniejsze niż 2.3.1. Może on zostać przeprowadzony w prosty sposób - wystarczy, że do użytkownika pakietu dostarczony zostanie (np. w postaci załącznika do wiadomości e-mail) odpowiednio zmodyfikowany plik bazy danych - po jego otwarciu może nastąpić automatyczne uruchomienie osadzonego w pliku kodu Java. Przyczyną problemu jest błąd w zabezpieczeniach wykorzystywanego w OpenOffice "silnika" bazodanowego HSQLDB (napisanego w Javie).

Warto wspomnieć, że ostatnia poprawka dla OpenOffice udostępniona została we wrześniu - załatano wtedy błąd związany z obsługą grafik w formacie TIFF. Duńska firma Secunia (specjalizująca się w monitorowaniu błędów w popularnych aplikacjach) informuje, że jak do tej pory w tym roku w OpenOffice załatano pięć błędów związanych z bezpieczeństwem.

Przypomnijmy, że kolejne znaczące uaktualnienie dla open-source'owego pakietu biurowego planowane jest na marzec 2008 - ma wtedy zostać udostępniona wersja 2.4.

Więcej informacji o problemie oraz uaktualnioną wersję OpenOffice znaleźć można na stronie projektu.


Zobacz również