|
Medellín, Septiembre 3 de 2006
Hola, Comunidad
Por considerarlo de utilidad general, les hago llegar información respectiva sobre los recientes comentarios de las vulnerabilidades y agujeros posibles de OO.org.
Es OpenOffice.org Seguro?
Desde hace algo mas de ocho semanas he seguido con detalle las publicaciones y anuncios globales que se han realizado sobre las supuestas vulnerabilidades de OO.org, iniciados con el anuncio de La Gerdamerie francesa sobre ... agujeros de seguridad encontrados en pruebas realizadas internamente con OO.org... y continuados con las publicaciones en revistas y magazines, algunos de ellos acolitados por Microsoft, que de manera ...imparcial hacían notar a la comunidad mundial de TI, la enorme gravedad de los agujeros encontrados en OO.org..., y de la manifiesta inseguridad en que se encontraba la información que había sido creada y almacenada usando OpenOffice.org.
Por lo anterior y también debido a la inquietud creciente de algunos de nuestros clientes ocasionada por estas alarmantes noticias, me di a la tarea de investigar con detalle el alcance real de este hecho y llegue a las siguientes conclusiones personales. (enfatizo en la palabra PERSONALES):
-
En la medida en que OO.org gane aceptación y aumente su participación real de mercado (ambos hechos son hoy realidades a puño), mas y mas hackers intentaran ganar acceso no autorizado a todo tipo de instalaciones, usando como portador de sus mensajes a OO:org. Desde mi punto vista esta lejos de ser una mala noticia, es excelente, pues esta es una manera de contrastar los niveles y efectividad de respuesta de la comunidad a intrusiones y eventos maliciosos creados por terceros.
-
Los agujeros reales detectados hasta el momento son tres: (según OO.org las vulnerabilidades a continuación descritas, se encuentran totalmente subsanadas en OO.org 2.0.3 y no existen aun parches para las versiones OO.org 1.1.5)
-
Galletas o crafted applets escritos en Java, que pueden violar la seguridad de Sandbox (el mecanismo de seguridad que chequea código no seguro en OO.org 1.1.x y 2.0.x). Estos applets una vez instalados, pueden hacer funcionar mal su sistema, permitiendo leer y enviar información privada, y además destruyendo o remplazando información de sus sistema de archivos.
Este agujero puede ser cubierto totalmente, con la opción del menú principal Herramientas-Opciones-OpenOffice.org-Java, desactivando el área Opciones de Java.
-
El segundo agujero, habilita a los hackers a inyectar código ejecutable en el interior de un documento OpenOffice, usando para ello una macro, que se ejecuta sin solicitar ningún tipo de autorización, cuando el archivo es abierto. Así la respectiva macro gana acceso completo a todos los recursos, derechos y privilegios del usuario, habilitando de paso la lectura y envió de información privada, además destruyendo o remplazando información de sus sistema de archivos.
-
El tercer agujero descubierto por Wade Alcorn de NGS Software. es una ... carga excesiva del buffer primario de memoria..., también conocida como buffer overflow, esto causa una sobrecarga de memoria, que bloquea la ejecución de OO.org y que podría eventualmente permitir al hacker un ataque directo al sistema afectado.
-
Aunque lo encontrado en un hecho real e innegable, que además merece toda la atención de nuestra comunidad, lo cierto es que a la fecha ... no he tenido ningún reporte o alarma efectiva sobre dichos ataques..., y todos los comentarios (algunos exagerados), han sido originados por la información ampliamente difundida sobre dicho tema.
-
Para los usuarios de OO.org es muy significativo que Cristian Driga, co-líder de Marketing de OpenOffice.org afirma ...tenemos un equipo de seguridad que durante 24 horas al día, esta atento a cualquier tipo de ataques y asaltos malintencionados de hackers de cualquier parte del globo, además esta vigilancia es también realizada por una enorme comunidad activa, con alta velocidad de respuesta, dispuesta a reportar inmediatamente cualquier intención al respecto ....
Cordialmente
Luis e. Vásquez r.
|
