upside
反病毒 反詐騙 反虐犬
|
分享:
x0
|
[漏洞修補] OpenOffice漏洞殃及多種作業系統
OpenOffice漏洞殃及多種作業系統 TaiwanCnet 2007/09/26
資安專家表示,已發現OpenOffice.org軟體潛在安全漏洞,可能讓駭客自遠端執行惡意程式碼,遙控安裝Linux、Windows或蘋果Mac作業系統的電腦。
內含這個安全漏洞的是2.0.4版OpenOffice,以及更早的版本。9月17日推出的最新版OpenOffice (即2.3版),則不受影響。
資安公司iDefense的研究員率先發現這個安全漏洞。他們指出,OpenOffice TIFF的parsing code有瑕疵,可能讓駭客乘虛而入,透過電子郵件附件、網站或P2P (peer-to-peer)軟體散播惡意製作的TIFF檔,進而入侵受害者的電腦。
iDefense研究團隊說:「剖析TIFF目錄項的某些標籤時,剖析器會用檔案中未受信賴的數值,來計算要分配的記憶數量。假設提供的是特別操縱過的數值,那麼就會在計算過程中發生整數溢位(integer overflow),導致配置大小不足的緩衝區,進而造成堆積溢位(heap overflow)問題。」
TrustDefender共同創辦人Andreas Baumhof說:「這個安全漏洞可能讓駭客在你的電腦上執行惡意的程式碼。這是OpenOffice的一個軟體臭蟲,所以,不論你電腦跑的是哪一種作業系統,都可能受影響。此弱點讓駭客能執行惡意軟體,享有跟OpenOffice使用者等量齊觀的權限。」
「現階段,只證實這個問題確實發生在Linux系統上,」Baumhof說:「不過,通常這類問題會影響所有的作業系統。Linux和Windows的差別只在於,通常家庭使用者是以管理員的身分來執行Windows。」
6月間,OpenOffice使用者接獲警告,得知有一種稱為「Badbunny」的蠕蟲正在網路上蔓延,傳染多種作業系統,包括Mac OS、Windows和Linux在內。
同時,賽門鐵克(Symantec)也貼出聲明,提醒使用者:「一種夾藏在惡意OpenOffice檔案中的蠕蟲正在擴散,可能感染Windows、Linux和Mac OS X系統。處理來路不明的OpenOffice檔案時,宜小心謹慎。」
|