OpenOffice.orgは,オープンソース版オフィス・スイート「OpenOffice.org」に存在していた遠隔コード実行に悪用されるセキュリティ・ホール「CVE-2008-2152」を修正し,最新版「同2.4.1」として公開した。OpenOffice.orgのWebサイトから無償でダウンロードできる。

 CVE-2008-2152は,OpenOffice.orgのメモリー確保関数「rtl_allocateMemory()」でバッファ・オーバーフローを起こすセキュリティ・ホール。悪用されると,OpenOffice.orgで種類の異なる複数の文書ファイルを扱う際に,任意のコードを遠隔実行される可能性がある。この問題は「OpenOffice.org 2.0」から「同2.4」の全バージョンで発生する(関連記事:オープンソースのオフィス・スイート「OpenOffice.org 2.0」の最終版公開オフィス・スイートの新版「OpenOffice.org 2.4」が公開)。

 遠隔コード実行時に権限昇格は行われず,OpenOffice.orgを使用中のユーザーと同じ権限となる。回避策はなく,OpenOffice.org 2.4.1へのバージョンアップが必要。現在のところ,このセキュリティ・ホールを攻撃するコードは出回っていないという。

 OpenOffice.org 2.4.1は,CVE-2008-2152修正のほか,若干の機能強化とバグ修正も施した。

[OpenOffice.orgのニュース掲載ページ] [リリースノート] [セキュリティ情報] [CVE-2008-2152に関する情報]