Lek in OpenOffice.org

Patch binnen 48 uur vrijgegeven

14 april 2005 | Remco Mourits OpenOffice.org heeft bevestigd dat er een fout zit haar gratis Office-pakket, waardoor een hacker een computer zou kunnen overnemen via een buffer overflow attack. Een patch wordt binnen 48 uur verwacht.

De fout zit zowel in versie 1.1.4, bètaversie 2.0 en in oudere versies van OpenOffice.org. Hackers kunnen via voor dat doel ontwikkelde bestanden een buffer overflow veroorzaken via OpenOffice.org, waardoor ze code op iemands computer kunnen laten uitvoeren.

Bij een buffer overflow krijgt een programma meer data te verstouwen dan er verwerkt kan worden. Normaal gesproken zijn programma's hiertegen beveiligd; door een fout kan het echter gebeuren dat een applicatie de commando's die buiten de buffer vallen, toch uitvoert.

Beveiligingsexperts spreken van een 'gemiddeld' gevaar. De gevolgen kunnen weliswaar groot zijn (in principe kan een computer via een buffer overflow op afstand worden overgenomen), maar om het lek uit te buiten is een handeling van de gebruiker vereist: die moet immers het bestand met de malicieuze code openen.

Het probleem werd eind maart ontdekt. Sindsdien zijn de makers van OpenOffice.org bezig geweest een patch te maken. Deze is nu af, en wordt momenteel getest. De patch zal uiterlijk morgen worden vrijgegeven.

In toekomstige versies van de gratis Office-distributie zal de fout al zijn hersteld.

Met een bijdrage van Matt Hines, CNet Lees meer artikels over : openoffice, lek, patch, office

bron: ZDNet