「OpenOffice.org 2.0.3」が公開に--3件の脆弱性に対応

　OpenOffice.orgが、人気の高いオフィススイートに存在する3件の脆弱性に対して、修復パッチをリリースした。

　同社のセキュリティ情報によると、OpenOffice.orgバージョン1.1.xおよび2.0.xでは、悪意を持って作製されたJavaアプレットが、コードの信頼性を精査するセキュリティメカニズムであるサンドボックスを回避することが可能になっているという。こうした仕組みがマルウェアに悪用され、システムへの完全なアクセスが奪われると、私的なデータの閲覧もしくは取得を許したり、ファイルの破壊もしくは置換を招いたりするおそれがある。

　2番目のセキュリティホールは、ハッカーがマクロを用いて、OpenOfficeのドキュメントに実行可能なコードを挿入するというもの。このマクロはドキュメントを開く際に動作し、ユーザーに許可が求められたり、通知されたりすることはない。マクロは、ユーザーがそのときに所有している特権を使用して、システムリソースにアクセスするという。これにより、再び私的データの閲覧および取得、ファイルの破壊および置換が可能になってしまう。

　さらにNGSSoftwareのWade Alcorn氏は、バッファオーバーフロー問題も発見したと述べている。ハッカーはこの脆弱性を足がかりに標的としたシステムに攻撃を仕掛けることができる。

　1番目の脆弱性については、OpenOfficeによるJavaアプレットのサポートを無効化することが対策となる。一方、マクロおよびバッファオーバーフローの脆弱性の方は、有効な回避策は存在しない。

　OpenOfficeは、現時点ではこれらの脆弱性を悪用した攻撃は確認されていないものの、バージョン2.0.x以降から2.0.2を利用している全ユーザーに、バージョン2.0.3へアップグレードするよう推奨している。

　OpenOffice.org 1.1.5に対応するパッチはまだリリースされていないが、同社は「間もなく」提供する予定だとした。

　セキュリティ企業Secuniaによると、これらの脆弱性は、「StarOffice」のバージョン6.x、7.x、8.x.および「StarSuite」のバージョン7.x、8.xにも影響をおよぼすという。StarOfficeおよびStarSuiteはSunの商用オフィスソフトウェアで、OpenOfficeスイートと同じコードを用いて開発されている。StarOfficeおよびStarSuiteのバージョン7.x、8.xに対するパッチは、すでに提供されている。

　OpenOffice.orgは現地時間7月4日、同オフィススイートの人気が高まるにつれ、ハッカーに狙われる危険性も大きくなると考えられるが、同社の体制は、Microsoftなどのプロプライエタリソフトウェアベンダーよりも脅威にすばやく対応できるようになっていると述べた。

　「どんなソフトウェアでも、人気が高くなればハッカーの標的になりやすくなるものだと思う」と、OpenOffice.orgのマーケティングプロジェクトを率いるCristian Driga氏は、ZDNet UKに語っている。

　「だがそれも、組織の対応力によっては大きな問題とはならない。オープンソースの開発コミュニティには、何か障害を発見した場合に報告してくれるユーザーが多数おり、したがってわれわれの開発者も、きわめて迅速な対応が可能になっている。パッチをリリースするまでの期間は、Microsoftよりもはるかに短い。OpenOfficeには、異なる言語のコミュニティが複数存在しており、そのいずれもが常に積極的に活動している」（Driga氏）

　Driga氏は、脆弱性情報を公開しても、OpenOfficeの評判に傷が付くことはないと話した。

　「脆弱性の問題には、われわれのセキュリティチームが24時間体制で取り組んでいる。オープンソース開発コミュニティも協力してくれている。こうしてすばやい対応を心がけていれば、人気の凋落は防げるだろう」（Driga氏）