OpenOfficeにバッファオーバーフローの脆弱性--まもなくパッチリリースへ

　オープンソースソフトウェアを開発するOpenOffice.orgが、同組織の配布する生産性アプリケーションにバッファオーバーフローの脆弱性があったことを認めた。

　同組織は米国時間12日、この脆弱性の修正は完了したと述べた。同組織の代表者らはパッチを48時間以内にリリースする予定だと、述べる。

　同組織のウェブサイトに掲示された文書によると、この脆弱性は3月末に発見されたという。OpenOffice 1.1.4および同2.0のベータ版、さらにこれらアプリケーションの初期バージョンに脆弱性があるという。

　ウェブサイトの掲示には、同ソフトウェアのある特定の機能に脆弱性が見つかり、これを悪用するために作成されたファイルの影響を受けるおそれがあると記されている。OpenOffice.orgによると、攻撃者はこの脆弱性を悪用してOpenOfficeアプリケーションの稼働するコンピュータを遠隔操作し、不正なコードを実行することができるという。

　セキュリティ研究者らは、今回の脆弱性を比較的深刻なものと評価している。例えばSecuniaは、システムが被害を受ける可能性があるが、ユーザーの対応次第では悪用を避けられるため、この脆弱性を「やや危険」と分類した。

　同ソフトウェアの開発コミュニティに参加するメンバーらによると、脆弱性の原因となっていたコードのバグはすでに除去され、問題は解決済みだという。同コミュニティは、オープンソースソフトウェアの普及に貢献する開発者のグループ。

　開発コミュニティのマネージャーを務めるLouis Suarez-Pottsは、CNET News.comに宛てた電子メールのなかで、バッファオーバーフローの脆弱性に対する修正は12日に完了したと述べた。現在、同組織はセキュリティアップデートのテストを行っており、遅くとも13日中にはこれをリリースする予定だという。また、OpenOffice.orgの将来のバージョンには、この修正が含まれることも、同氏は付け加えた。

　オープンソース開発モデルでは、協力者はコードを自由に閲覧でき、バグ修正や機能強化などの変更を追加することが可能である。同コミュニティは、こうした特徴のおかげで、問題に早急に対処できるとして、同アプリケーションの優位性を強調してきた。例えば、競合のMicrosoftでは、Windows製品用のセキュリティパッチのリリースは通常月に一度となっている。