Представленный на днях свободный пакет офисных приложений OpenOffice.org 3.2 закрывает обнаруженные ранее шесть уязвимостей в подсистеме безопасности.
Три исправленных дефекта позволяли дистанционно и несанкционированно выполнить код. Так, злоумышленники могли подготовить вредоносный документ, в том числе ODF-формата, содержащий XMP-информацию, обрабатывая которую OpenOffice.org ошибочно предоставлял хакеру те же права на доступ к системе, что и локальному пользователю. Закрыта и схожая проблема с GIF-файлами, встраиваемыми в ODF-документы. Третья дыра касалась злонамеренных документов Microsoft Word, при открытии которых атакующий получал доступ к компьютеру.
По мнению специалистов, киберпреступники традиционно прибегают к подобным эксплойтам, связывая их с популярными файловыми форматами, открыть которые они принуждают ничего не подозревающих пользователей с помощью ухищрений социальной инженерии.
Кроме того, одна из уязвимостей была связана с библиотекой времени выполнения MSVC, включенной в Windows-сборку пакета: хакеры могли обойти некоторые запреты безопасности — например, в ActiveX. Еще две ошибки могли быть использованы при обработке криптографических кешей с целью подмены цифровой подписи.
Из общих новшеств релиза OpenOffice.org 3.2 отмечены 46-процентное ускорение запуска (в сравнении с версией 3.0 годичной давности), более правильная поддержка стандарта ODF 1.2, улучшенная поддержка проприетарных форматов, включая защищенные паролем документы и XML-файлы Microsoft Office 2007, OLE-объекты, элементы управления и сводные таблицы Excel 2007, а также OpenType-шрифты на базе Postscript.