OpenOffice漏洞殃及多種作業系統
TaiwanCnet 2007/09/26

資安專家表示，已發現OpenOffice.org軟體潛在安全漏洞，可能讓駭客自遠端執行惡意程式碼，遙控安裝Linux、Windows或蘋果Mac作業系統的電腦。

內含這個安全漏洞的是2.0.4版OpenOffice，以及更早的版本。9月17日推出的最新版OpenOffice (即2.3版)，則不受影響。

資安公司iDefense的研究員率先發現這個安全漏洞。他們指出，OpenOffice TIFF的parsing code有瑕疵，可能讓駭客乘虛而入，透過電子郵件附件、網站或P2P (peer-to-peer)軟體散播惡意製作的TIFF檔，進而入侵受害者的電腦。

iDefense研究團隊說：「剖析TIFF目錄項的某些標籤時，剖析器會用檔案中未受信賴的數值，來計算要分配的記憶數量。假設提供的是特別操縱過的數值，那麼就會在計算過程中發生整數溢位(integer overflow)，導致配置大小不足的緩衝區，進而造成堆積溢位(heap overflow)問題。」

TrustDefender共同創辦人Andreas Baumhof說：「這個安全漏洞可能讓駭客在你的電腦上執行惡意的程式碼。這是OpenOffice的一個軟體臭蟲，所以，不論你電腦跑的是哪一種作業系統，都可能受影響。此弱點讓駭客能執行惡意軟體，享有跟OpenOffice使用者等量齊觀的權限。」

「現階段，只證實這個問題確實發生在Linux系統上，」Baumhof說：「不過，通常這類問題會影響所有的作業系統。Linux和Windows的差別只在於，通常家庭使用者是以管理員的身分來執行Windows。」

6月間，OpenOffice使用者接獲警告，得知有一種稱為「Badbunny」的蠕蟲正在網路上蔓延，傳染多種作業系統，包括Mac OS、Windows和Linux在內。

同時，賽門鐵克(Symantec)也貼出聲明，提醒使用者：「一種夾藏在惡意OpenOffice檔案中的蠕蟲正在擴散，可能感染Windows、Linux和Mac OS X系統。處理來路不明的OpenOffice檔案時，宜小心謹慎。」