OpenOffice est l’une des solutions qui remplacent l’open-source à la Suite Office de Microsoft. Elle contient une faille de sécurité importante. Quand elle est exploitée, elle permet à un attaquant d’exécuter un malware sur votre PC. Cela affecte des millions d’utilisateurs
Comme vous le savez, OpenOffice est l’une des solutions qui remplacent l’open-source à la Suite Office de Microsoft. Elle contient une faille de sécurité importante. En effet, lors de la conférence en ligne HackerOne, l’existence de cette vulnérabilité a été dévoilé par le chercheur en sécurité informatique Eugene Lim, plus connu sous le pseudo Space Racoon
En effet, l’utilisation d’Apache OpenOffice n’est pas aussi populaire que celle de LibreOffice, son concurrent important. Cependant, il y a des centaines de millions d’utilisateurs à travers le monde qui enregistrent ce logiciel, étant de potentielles victimes. Selon ses explications, dans un système de base de données qui a été créé il y a 40 ans et toujours utilisé par des applications modernes comme Microsoft Office, LibreOffice et Apache OpenOffice, Eugène Lim a trouvé cette faille.
Le chercheur était surpris quand personne n’avait découvert cette faille plus tôt dans ce système de base de données. Eugène Lim partage la méthode pour trouver cette faille d’exécution de code à distance dans un blog spécialisé partageant les détails de la vulnérabilité. Selon ses partages, OpenOffice aurait été automatiquement analysé par divers analyseurs de code statique qui auraient facilement détecté le memcpy non sécurisé.
UN PROBLÈME CONCERNANT LA PLATEFORME D’ANALYSE DE CODE
Ses recherches l’ont aidé à accéder à la plateforme d’analyse de code qui fait des tests sur les projets open-source. Dans ce cas, Apache OpenOffice a été marqué comme un projet Python et JavaScript, ce n’est pas un C++, un langage de programmation très populaire. C’est pourquoi que l’analyseur découverte cette faille
Après cette découverte, l’expert souligne l’importance de la vérification de l’intégrité des outils d’analyse statique automatisés. Par ailleurs, selon l’affirmation d’Apache OpenOffice, le code source du logiciel a été corrigé, et on a mis à jour la version bêta du programme pour le correctif de cette faille.
Cependant, au nom du comité de gestion du projet Apache OpenOffice, Dave Fisher a déclaré que le patch sera lancé bientôt pour la version grand public. En effet, ils essaient de sortir la version 4.1.1 d’Apache OpenOffice à la fin du mois, et le correctif CVE-2021-33035 avant la publication.
