OpenOfficeに脆弱性、該当ライブラリを差し替えるパッチはまもなく正式公開

無償で提供されているオフィススイート「OpenOffice」に、ヒープオーバーフローの脆弱性が発見された。4月12日付けで、修正用の緊急パッチが公開されている。

[ITmedia]

　無償で提供されているオープンソースのオフィススイート「OpenOffice」に、ヒープオーバーフローの脆弱性が発見された。これを受けて開発元のOpenOffice.orgコミュニティは、米国時間の4月12日、問題のライブラリを差し替えるための緊急パッチを公開している。

　今回指摘された脆弱性は、OpenOffice 1.1.4以前と、ベータ版としてリリースされているOpenOffice 2.0に存在する。ワープロソフトウェアに含まれている「StgCompObjStream::Load()」ファンクションに問題があるため、細工を施されたdoc形式のファイルを開くとヒープオーバーフローが発生し、場合によっては任意のコードを実行される恐れがある。

　OpenOffice.orgではこの脆弱性を3月31日に把握し、修正作業を行ってきた。問題のあるライブラリを差し替えるバージョン1.1.4向けの緊急パッチは、ミラーサーバなどを通じて提供が開始されている。また、Louis Suarez-Potts氏によるメーリングリストへの投稿によれば、品質チェックプロセスが完了次第、2〜3日中に公式にアナウンスされる見込みだ。

　ただ、環境によってパッチを適用できない場合は、信頼の置けないdocファイルは不用意に開かないよう注意が必要だ。