• 14/12/2025
ALERTA

Graves problemas de seguridad en OpenOffice

La nueva versión del paquete de aplicaciones de oficina basado en software libre corrige las vulnerabilidades descubiertas en una auditorí­a interna.
iProfesional | Tecnología |
Por iProfesional
04/07/2006 - 14:01hs
Graves problemas de seguridad en OpenOffice

OpenOffice, el paquete de aplicaciones de oficina de código abierto, publicó un boletí­n que descubre tres graves problemas de seguridad y que fueron descubiertos a través de una auditorí­a interna de código.

Las vulnerabilidades descubiertas afectan a las versiones 1.1.x y 2.0.x, informó OpenOffice.org, la organización que publicó la versión 2.0.3 que resuelve estos problemas. En breve se publicará un parche para la versión 1.1.x.

Según informó la consultora de seguridad informática Hispasec, los errores son los siguientes:

  • Algunos applets de Java pueden saltar fuera de la sandbox, con lo que el código del applet podrí­a tener acceso al sistema con los privilegios del usuario que lo ha ejecutado. Para este problema, si no se aplica el parche, es posible deshabilitar el soporte para los applets de Java y mitigar el problema (aparte de usar privilegios mí­nimos).
  • Existe un fallo a la hora de interpretar ficheros en formato XML que abre la posibilidad de desbordamientos de memoria intermedia en documentos especialmente manipulados. Este error harí­a que OpenOffice.org dejase de funcionar y potencialmente, cabrí­a la posibilidad de ejecución de código arbitrario.
  • El último fallo afecta el mecanismo de macros que puede permitir a un atacante incluir ciertas macros que podrí­an llegar a ejecutarse incluso si el usuario las ha deshabilitado. Estas macros también podrí­an tener acceso al sistema completo con los privilegios del usuario que lo ejecuta, que no serí­a advertido de la ejecución en ningún momento. No existe contramedida especí­fica para este fallo, es necesario el parche.

Se recomienda a los usuarios actualizar desde www.openoffice.org a la versión 2.0.3. La anterior vulnerabilidad de considerable gravedad se descubrió en abril de 2005, y permití­a la ejecución de código con sólo abrir un archivo en formato .doc. En aquel momento, aunque los detalles sobre el problema fueron publicados, no se utilizó la vulnerabilidad para esparcir virus o malware en general de forma masiva.

Pero en esta ocasión, además, teniendo en cuenta que los detalles no son públicos, tampoco se prevé que sea aprovechado para infectar sistemas, aunque su creciente popularidad puede terminar por hacerlo objetivo de ataques generalizados.

Este descubrimiento de fallos en el popular programa coincide con la mala racha de seguridad que lleva el producto equivalente de Microsoft, Office, del que se han descubierto varios problemas muy graves en un breve periodo de tiempo.