セキュリティ・ベンダーの仏FrSIRT(French Security Incident Response Team)などは現地時間4月11日,オフィス・スイート「OpenOffice.org」にバッファ・オーバーフローのセキュリティ・ホールが見つかったことを公表した。細工が施されたDOCファイルを読み込むと,任意のプログラムを実行させられる恐れがある。最新版「OpenOffice.org 1.1.4」と「OpenOffice.org 2.0 Beta」およびこれら以前のバージョンが影響を受けるという。対策は信頼できないファイルを開かないこと。
今回のセキュリティ・ホールは,4月11日ごろ,発見者により複数のセキュリティ・ホール関連メーリング・リストに投稿された。それによると,OpenOffice.orgで使われている「StgCompObjStream::Load()」関数には,ヒープ・バッファ・オーバーフローのセキュリティ・ホールが存在するという。
具体的には,DOC形式のファイル(Microsoft Wordなどで使われるファイル形式)を読むときに,バッファ・オーバーフローが発生する可能性がある。このため,細工が施されたDOCファイルを読む込むと,そのファイルに仕込まれた任意のプログラムを実行させられる恐れがある。
FrSIRTによると,4月11日時点では,パッチや修正版などは公開されていないという。このため,信頼できないDOCファイルをOpenOffice.orgで開かないことが対策となる。とはいえ,ファイル・タイプに限らず,信頼できないファイルを開かないことはセキュリティのセオリーの一つ(関連記事)。セキュリティのセオリーを守っていれば,慌てる必要はない。
なお,セキュリティ・ホールの発見者は投稿の中で,「StartOfficeにも同様のセキュリティ・ホールが存在する可能性があるが,検証はしていない」と書いている。
◎参考資料
◆OpenOffice Document Handling Heap Overflow Vulnerability
◆OpenOffice DOC document Heap Overflow
(勝村 幸博=IT Pro)
