Estos investigadores han publicado en el "Journal in Computer Virology", una publicación académica, que con la suite Microsoft Office siendo el actual objetivo de los piratas informáticos, los usuarios del software de OpenOffice.org pueden estar incluso en mayor riesgo de virus que los usuarios de Office.
Luego de un análisis profundo de las amenazas virales con los documentos de OpenOffice.org, ellos afirman que "la seguridad general de OpenOffice es escasa, y que esta suite sigue siendo hasta ahora vulnerable a ataques potenciales de malware."
El informe describe cuatro virus del tipo "prueba de concepto" (PoC), que demuestran cómo macros codificadas y plantillas maliciosas, podrían ser creadas para comprometer los sistemas en que funcione el software de OpenOffice.
Los investigadores dijeron que "el peligro viral unido a OpenOffice es por lo menos tan alto como lo es para la suite de Microsoft, e incluso más peligroso cuando se consideran ciertos aspectos."
Un gran número de los problemas descritos en el informe tienen que ver con el diseño básico del software. Ellos afirman que por ejemplo, OpenOffice no realiza chequeos adecuados de la seguridad al ejecutar su software. Y debido a la extrema flexibilidad de esta suite gratuita, hay muchas maneras para que los escritores creen macros maliciosos.
OpenOffice.org ha reparado ya el error descubierto por los investigadores franceses, y los dos grupos están en discusiones sobre cómo mejorar la seguridad total de este software, informó Louis Suarez-Potts, encargado del equipo de OpenOffice.org.
"El único fallo auténtico en la lógica del programa ha sido solucionado," dijo Suarez-Potts. "Los otros son teóricos." Y agrega que OpenOffice.org ha remendado un importante número de vulnerabilidades en las últimas semanas, por lo cual los usuarios deben actualizarse a la versión más reciente.
Russ Cooper, el principal analista de seguridad en Cybertrust, opina que estos últimos fallos demuestran que el proyecto de open-source, tiene por delante bastante trabajo en lo que a seguridad se refiere. "Si estos tipos de vulnerabilidades hubieran sido descubiertos en Microsoft Office, serían noticias de portada," dijo. "Quienquiera haya trabajado en la seguridad para OpenOffice, ha ignorado totalmente lo que Microsoft ha estado haciendo con la seguridad de sus propios documentos de Office."
Los atacantes últimamente han explotado un gran número de errores en las aplicaciones de Microsoft Office, enviando documentos de Word, Excel y PowerPoint con códigos maliciosos, vía correo electrónico, a un número pequeño de víctimas específicas.
En uno de sus boletines de agosto, el MS06-048, Microsoft remendó el último defecto descubierto, relacionado con PowerPoint.
El investigador Eric Filiol del Ministerio de Defensa francés, se ha manifestado en desacuerdo con algunas de las conclusiones del equipo de OpenOffice.org, y en el documento presentado en la conferencia, concluye:
- Que muchas posibilidades fueron identificadas, y probadas.
- Que el riesgo de infección actualmente en OpenOffice es máximo.
- Que es desaconsejado su uso desde el punto de vista de la seguridad.
Filiol declinó ser entrevistado.
* Relacionados:
OpenOffice.org security 'insufficient'
http://www.infoworld.com/article/06/08/11/HNopenofficesecurity_1.html
|
