Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Vulnerabilità anche per OpenOffice

La nota suite di produttività open source soffre di tre problemi di sicurezza. Non ancora pronta la versione italiana corretta.
La nota suite di produttività open source soffre di tre problemi di sicurezza. Non ancora pronta la versione italiana corretta.
Link copiato negli appunti

Anche la suite di produttività open source OpenOffice è insicura e va protetta subito con le patch rilasciate prontamente dall'azienda, anche se non per la localizzazione italiana. Sono tre infatti i problemi che gli sviluppatori del programma e esperti di sicurezza esterni hanno scovato nel codice dell'applicazione. Tutti e tre possono essere considerati critici, moderatamente critici per Secunia, in quanto consentono l'esecuzione di codice nocivo sul computer sul quale è installato OpenOffice attraverso modalità diffrenti.

Le versioni della suite che devono essere aggiornate sono tutte quelle delle branche 1.1 e 2.0. Per chi usa ancora la versione OpenOffice 1.1.5 non esistono tuttora correzioni ma, ha fatto sapere l'azienda, saranno quanto prima rilasciate e messe a disposizione degli utenti. Per gli altri, ben più numerosi, utilizzatori della versione 2 è necessario scaricare l'intero pacchetto applicativo segnato con il numero 2.0.3. Al momento non è disponibile una versione in italiano che è ancora fissa alla versione 2.0.2 che contiene gli errori. I problemi sono stati riscontrati in tutte le piattaforme su cui è compilata la suite: Windows, Linux e Solaris.

Gli errori riscontrati sono tre. Il primo riguarda la gestione delle applet Java. È infatti possibile per un applet Java caricata all'interno di una delle applicazioni della suite superare i limiti imposti dal programma e agire sul filesystem del computer. In questo caso è dunque possibile leggere o cancellare file, manipolare i documenti, ottenere informazioni riservate. Per evitare che le applet Java vengano eseguite dal software bisogna scaricare la nuova versione aggiornata oppure configurare OpenOffice per bloccarne l'avvio. Ciò si ottiene, nella versione 2, attraverso la modifica di un parametro incuso nel file di configurazione. Per la procedure rimandiamo alle istruzioni fornite da OpenOffice.org.

La seconda vulnerabilità riguarda la gestione delle macro, ossia piccoli script che vengono eseguiti all'interno di documenti. OpenOffice non gestisce bene le macro e, se programmata ad arte, una macro contenuta in un documento può avere pieno accesso alle risorse del sistema con i diritti dell'utente che ha aperto il documento. Le azioni che potrebbe compiere chi ha programmato la macro sono le stesse in precendenza indicate per la vulnerabilità Java. L'unico modo per mettersi al riparo da una possibile aggressione nociva è scaricare ed installare l'ultima versione di OpenOffice.

La terza vulnerabilità è un classico buffer overflow in cui incorre il programma all'apertura di un file di qualsiasi programma che compone la suite (Calc, Writer, Draw, Impress e Math). Il file malformato aperto nel documento può eseguire qualsiasi azione sul sistema dell'utente, compresa l'installazione di programmi e la manipolazione di documenti. Anche in questo caso l'unico modo per correggere l'errore è scaricare la versione aggiornata dell'applicazione.

Accanto ad OpenOffice, anche le suite di produttività StarOffice, nelle versioni 6, 7 e 8, e StarSuite, nelle versioni 7 e 8, sono affette dal problema in quanto condividono lo stesso codice sorgente di OpenOffice. Anche per questi programmi le patch sono disponibili.

Cristian Driga, direttore marketing del progetto OpenOffice, ha dichiarato a ZDNet che con l'aumentare della popolarità di un'applicazione è normale che vengano scoperti e divulgati errori di sicurezza. Tuttavia, continua Diga, "tutto dipende da come un'organizzazione reagisce. Poichè siamo basati su una comunità aperta abbiamo tanti utenti che riportano i problemi scoperti e i nostri sviluppatori reagiscono molto velocemente. Abbiamo un 'patch time' molto più corto di Microsoft".


Ti consigliamo anche