OpenOffice, l'une des principales alternatives open-source à la Suite Office de Microsoft, abrite une faille de sécurité critique. Une fois exploitée, elle permet à un attaquant d'exécuter un malware sur votre machine. Des millions d'utilisateurs sont concernés.

OpenOffice, l'une des principales alternatives open-source à la Suite Office de Microsoft (Word, Powerpoint, etc.), abrite une faille de sécurité critique. En effet, le chercheur en sécurité informatique Eugene Lim, plus connu sous le pseudo SpaceRacoon, a dévoilé l'existence de cette vulnérabilité lors de la conférence en ligne HackerOne.

Comme vous le savez peut-être, Apache OpenOffice n'est pas aussi largement utilisé que LibreOffice, son principal concurrent. Néanmoins, le logiciel enregistre des centaines de millions d'utilisateurs à travers le monde, soit autant de victimes potentielles. D'après ses explications, Eugene Lim a déniché cette faille dans dBASE (DBF), un système de base de données crée il y a 40 ans et toujours utilisé par des applications modernes comme Microsoft Office, LibreOffice et Apache OpenOffice.

Étant donné l'ancienneté de ce système de base de données, le chercheur s'est naturellement demandé pourquoi personne n'avait découvert cette faille plus tôt. Dans un blog spécialisé partageant les détails de la vulnérabilité, Eugene Lim explique comment il a pu trouver cette faille d'exécution de code à distance (Remote Code Execution). “En tant que programme Open-source, OpenOffice aurait sans doute été automatiquement analysé par divers analyseurs de code statique, qui aurait facilement détecté le memcpy non sécurisé”, écrit Eugene Lim.

À lire également : Microsoft augmentera les prix des abonnements Microsoft 365 et Office 365 en 2022

Un problème du côté de la plateforme d'analyse de code

Ses recherches l'ont conduit à la plateforme d'analyse de code qui effectue des tests sur les projets open-source. En l'occurrence, elle a marqué Apache OpenOffice comme un projet Python et JavaScript, et non comme un C++, un langage de programmation extrêmement répandu. C'est ce qui a conduit l'analyseur à manquer cette vulnérabilité.

“Cela démontre l'importance de la vérification de l'intégrité des outils d'analyse statique automatisés ; si vos outils ne savent pas que le code existe, ils ne peuvent pas trouver ces vulnérabilités”, assure l'expert. De leur côté, les développeurs d'Apache OpenOffice affirment que le code source du logiciel a été corrigé, seulement le correctif pour cette faille a été mis à disposition uniquement pour la version bêta du programme.

Toutefois, le patch devrait arriver prochainement pour la version grand public. “Nous nous efforcons de lancer la version 4.1.1 d'Apache OpenOffice dans le courant du mois, ou plus tôt si possible, et de publier le correctif CVE-2021-33035 avant la publication”, a déclaré Dave Fisher au nom du comité de gestion du projet Apache OpenOffice.

Source : The Register