OpenOffice.org : une triplette de vulnérabilités découvertes

La société danoise Secunia spécialisée dans la sécurité informatique a publié mercredi un bulletin d'alerte concernant la suite bureautique libre OpenOffice.org version 2.1.0 et antérieures.

Ce sont en réalité trois vulénrabilités pour le prix d'une dont Secunia se fait l'écho dans son bulletin, les qualifiant de hautement critique, soit le niveau 4 sur son échelle de dangerosité graduée jusqu'à 5 car pouvant être exploitées à distance. Secunia préconise ainsi la plus grande prudence et indique à l'utilisateur d'éviter l'ouverture de fichiers à l'origine inconnue.


L'avis du CERTA
L'information a également été relayée par le Centre d' Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques (CERTA) qui décrit les trois vulnérabilités comme suit :

• La première vulnérabilité est due au fait que OpenOffice.org embarque dans son code la bibliothèque de fonctions libwpd mettant en oeuvre le support des fichiers WordPerfect dans OpenOffice.org. Cette bibliothèque de fonctions est vulnérable et permet l'exécution de code arbitraire.
• La deuxième vulnérabilité concerne le tableur de OpenOffice.org affecté par une faille de type débordement de mémoire (risque d'exécution de code arbitraire).
• La dernière vulnérabilité est due à un manque de contrôle des paramètres passés en ligne de commande à OpenOffice.org. Un utilisateur distant peut ainsi exécuter du code arbitraire via un lien spécialement conçu.
  

Alors que plusieurs éditeurs comme Novell et Red Hat ainsi que le projet Debian pour sa distribution (sarge, etch et sid) ont déjà publié une mise à jour de sécurité de OOo, il est probable que ces vulnérabilités seront également prises en charge dans la toute proche version 2.2 de OOo qui,  en outre,  offrira une compatibilité sans faille avec Vista.