OpenOffice.org corrige la faille qui affecte la suite bureautique

Cloud

Un défaut dans le traitement des entêtes des fichiers « .doc » permet de créer une attaque par débordement de mémoire tampon et prendre le contrôle de la machine.

« Une faille de sécurité qui affecte les versions 1.1.4 et précédentes de OpenOffice.org, ainsi que la bêta 2.0, a été récemment découverte », prévient par e-mail l’équipe du projet de la suite bureautique libre. Elle affecte toutes les plates-formes : Windows, Linux, Mac OS X et Solaris (x86 et Sparc). Schématiquement, elle permet de créer un débordement de mémoire tampon à partir d’un document « .doc » et de prendre le contrôle de la machine victime. Une exploitation possible qu’à la condition d’ouvrir un document au format texte d’une provenance inconnue. La société de sécurité Secunia qualifie la faille de « modérément critique ». On trouvera un descriptif complet (en anglais) de la vulnérabilité sur cette page du site OpenOffice.org.

Appliquer le correctif manuellement

Découverte le 31 mars, la brèche a été corrigée. L’équipe du projet invite donc les utilisateurs de l’application alternative à Microsoft Office à télécharger et appliquer le correctif mis à disposition depuis le 14 avril. Contrairement à un patch Microsoft, il faut effectuer l’installation à la main. Cela reste relativement simple. Une fois le fichier téléchargé, il faut simplement le copier dans le répertoire « program » après avoir, par sécurité, sauvegardé le contenu de celui-ci. Il suffit ensuite de relancer OpenOffice.org pour récupérer une version sécurisée.

Le correctif se limite à la version 1.1.4. OpenOffice.org 2.0 Bêta sera bientôt mis à jour. L’équipe de développement de la suite open source officielle de StarOffice invite les utilisateurs des versions 1.1.3 et inférieures à migrer vers la 1.1.4. Le projet invite également les distributeurs d’OpenOffice.org sur CD (partenaires, supports presse, etc.) à mettre à jour leur produit.