OpenOffice漏洞殃及多种作业系统
TaiwanCnet 2007/09/26

资安专家表示，已发现OpenOffice.org软体潜在安全漏洞，可能让骇客自远端执行恶意程式码，遥控安装Linux、Windows或苹果Mac作业系统的电脑。

内含这个安全漏洞的是2.0.4版OpenOffice，以及更早的版本。9月17日推出的最新版OpenOffice (即2.3版)，则不受影响。

资安公司iDefense的研究员率先发现这个安全漏洞。他们指出，OpenOffice TIFF的parsing code有瑕疵，可能让骇客乘虚而入，透过电子邮件附件、网站或P2P (peer-to-peer)软体散播恶意制作的TIFF档，进而入侵受害者的电脑。

iDefense研究团队说：「剖析TIFF目录项的某些标签时，剖析器会用档案中未受信赖的数值，来计算要分配的记忆数量。假设提供的是特别操纵过的数值，那么就会在计算过程中发生整数溢位(integer overflow)，导致配置大小不足的缓冲区，进而造成堆积溢位(heap overflow)问题。」

TrustDefender共同创办人Andreas Baumhof说：「这个安全漏洞可能让骇客在你的电脑上执行恶意的程式码。这是OpenOffice的一个软体臭虫，所以，不论你电脑跑的是哪一种作业系统，都可能受影响。此弱点让骇客能执行恶意软体，享有跟OpenOffice使用者等量齐观的权限。」

「现阶段，只证实这个问题确实发生在Linux系统上，」Baumhof说：「不过，通常这类问题会影响所有的作业系统。Linux和Windows的差别只在于，通常家庭使用者是以管理员的身分来执行Windows。」

6月间，OpenOffice使用者接获警告，得知有一种称为「Badbunny」的蠕虫正在网路上蔓延，传染多种作业系统，包括Mac OS、Windows和Linux在内。

同时，赛门铁克(Symantec)也贴出声明，提醒使用者：「一种夹藏在恶意OpenOffice档案中的蠕虫正在扩散，可能感染Windows、Linux和Mac OS X系统。处理来路不明的OpenOffice档案时，宜小心谨慎。」