Log ind
Publiceret d. 21. april 2008 kl. 10.57
| 
ANNONCE:
Der er nemlig blevet frigivet en sikkerhedsopdatering, som lukker en række sårbarheder, der kan bruges til at afvikle ondsindet kode på ikke opdaterede systemer.
Opdateringen er rettet mod OpenOffice-installationer, der er ældre end version 2.4, og de installeres ikke automatisk.
Større sikkerhedsudfordringer
Kontorpakken udnyttes ved at afsende et særligt udformet dokument eller ved at indlejre den ondsindede kode på en webside.
Alle sårbarhederne er de såkaldte heap overflows, der kan udløses ved filtyper som .EMF, .ODF eller Quattro Pro-filer, det oplyser sikkerhedsfirmaet CSIS.
Problemet i forbindelse med afvikling af ODF-filer skyldes en fejl i OpenOffice, der udløses, når dokumentet indeholder XForms med tredjeparts-biblioteket ICU, som er udviklet af IBM.
Tredjepartsleverandører som IBM er et sikkerhedsproblem for open source-kontorpakken, fordi det gør det mere besværligt at finde frem til sikkerhedshullerne.
Tredjepartsleverandørerne forsyner OpenOffice med kode, der giver brugeren flere muligheder i programmet, men samtidig giver større muligheder for at udnytte sårbarheder.
"Når man vil have høj funktionalitet i OpenOffice, inddrages mange tredjeparts leverandører, og det giver højere risiko for sikkerhedshuller, og så gør det samtidig fejlfindingsarbejdet mere besværligt," siger Peter Kruse, der er sikkerhedsekspert i CSIC.
"Open source-folket har traditionelt været gode til at lukke sikkerhedssårbarheder, men denne gang har det taget noget tid, og udfordringen bliver større i fremtiden," lyder det fra Peter Kruse.
Microsoft har den åbenlyse fordel, at al koder er udviklet et sted, og derfor er det lettere at fejlfinde i den
Yderligere oplysninger om opdateringen kan findes på OpenOffice' websted.
|
