セキュリティアップデート

OpenOffice.org1.1.xにセキュリティホールが発見されました。 これは、「ヒープオーバーフロー」と呼ばれる脆弱性で、 Microsoft Wordのファイルで細工が施されたものを読み込んだとき、プログ ラムの動作が不安定になる恐れがあるというものです。 OpenOffice.orgの利用者は、セキュリティアップデートプログラムを適用する か、MicrosoftのWord形式の信頼できないファイルを開かないことをお薦めします。 対象バージョン 現象 対策 ダウンロード アップデート手順 今後の対応 詳細情報

ここからスタート! 1. 動作環境を選ぶ 2. ダウンロードする 3. インストールする 4. 簡単な使い方 よくある質問(FAQ) 1.1.3 からの変更点 スクリーンショット

対象バージョン

• OpenOffice.org 1.1.x
  
• Windows, Linux, Solaris x86/Sparc, Mac OS/X
• OpenOffice.org 2.0 ベータ・開発版
  
• Windows, Linux, Solaris x86/Sparc, Mac OS/X

現象

Writerに含まれている「StgCompObjStream::Load()」メソッドに問題があり、細工を施されたMicrosoft Word形式のファ イル(拡張子がdocおよびdotのもの)を 開くとヒープオーバーフローが発生します。

このため場合によっては、OpenOffice.orgの動作が不安定になったり、異常終了する恐れがあります。また、技術的に事実上不可能とは考 えられますが、Microsoft Wordファイルに忍び込ませてある悪意のあるプログラムを実行させられる可能性が、ごくわずかですがあります。

セキュリティアップデートを行っていないOpenOffice.orgでは、セキュリティアップデートプログラムを適用するか、Microsoft のWord形式の信頼できないファイルを開かないことをお薦めします。

対策

OpenOffice.org1.1.4

• Windows版 - 配布しているセキュリティアップデートプログラムを実行します。
• Linux版 - 配布しているファイルを手動で差し替えます。
• Solaris(x86/sparc) - 配布しているファイルを手動で差し替えます。
• Mac OS X - 配布しているファイルを手動で差し替えます。

OpenOffice.org1.1.3以前のバージョン

• 1.1.4にバージョンアップしてから、セキュリティアッププログラムを実行します。

OpenOffice.org 2.0ベータ、アルファ版

• 1.9.m95で対応する予定です。それ以前のバージョンでは、信頼できないDocファイルを開かないでください。

ダウンロード

セキュリティアップデートプログラムを下記よりダウンロードしてください。

• Windows セ キュリティアップデート自動実行プログラム（自己解凍形式） ooo114securityUpdate20050417.exe
  

• Linux セ キュリティアップデート差し替えファイル libsot645li.so
  
• Solaris x86 セ キュリティアップデート差し替えファイル libsot645si.so
  
• Solaris sparc セ キュリティアップデート差し替えファイル libsot645ss.so
  
• Mac OS X セ キュリティアップデート差し替えファイル libsot645mxp.dylib

• MD5リスト

  c8155fbc898e76d46a1e1177c3e9666b  libsot645li.so
  39f4e806e4e1f1ac9c409f954231cca0  libsot645mxp.dylib
  382629c4c73f840dbdf722c5e2c0a4dd  libsot645si.so
  256d9d041c63bd96acadbeed9ab8d4a3  libsot645ss.so
  503896bb4f9dcca9342178c57bc5bd6a  sot645mi.dll
  

• MD5の確認方法

アップデート手順

Windows版をアップデートするには（自動実行形式の場合）

1. 必要なファイルをダウンロードする
2. ダウンロードしたファイルをダブルクリックすると、
3. フォルダが解凍されたら、その中のexeファイルをダブルクリックする
4. Security Updateウィザードに従って、作業を行う

必ず、1.1.4のみに適用してください。
クイックスタートを停止させてから、適用してください。

Linux版をアップデートするには

1. libsot645li.soをダウンロード
2. ワーキングディレクトリをOpenOffice.org1.1.4/programに移動
3. libsot645li.soのバックアップコピーを作る
4. ダウンロードしたlibsot645li.soを上書きコピーする

このほかのアップデート手順については、OOoWiki OpenOffice.org1.1.4 ヒープ・オーバーフローの脆弱性対策をご覧ください。

今後の対応

まだ正式決定ではありませんが、このセキュリティホール対策を盛り込んだ
OpenOffice.org1.1.5が計画に上がっています。

詳細情報

• OOoWiki OpenOffice.org1.1.4 ヒープ・オーバーフローの脆弱性対策
• OpenOffice.org Security Patch for OpenOffice.org 1.1.4(英語)
  http://download.openoffice.org/1.1.4/security_patch.html
  
• セキュリティ情報の詳細については、下記を参照してください(英語)。
  http://www.securityfocus.com/archive/1/395516
• セキュリティパッチの修正内容は下記を参照してください(英語)。
  http://util.openoffice.org/source/browse/util/sot/source/sdstor/stgole.cxx?r1=1.4&r2=1.4.166.
  

このページの変更履歴

2005-04-18:いろいろ調整
2005-04-17:正式公開
2005-04-14:暫定公開

---