Avis de sécurité OpenOffice du 28 décembre 2023.

Avis de sécurité Apache OpenOffice du 28 décembre 2023.

Apache corrige de multiples vulnérabilités dans son produit OpenOffice 4.1.15. Un attaquant peut créer un OBD contenant un fichier « base de données/script » avec une commande SCRIPT où le contenu du fichier pourrait être écrit dans un nouveau fichier dont l’emplacement a été déterminé par l’attaquant. Les documents Apache OpenOffice peuvent contenir des liens qui appellent des macros internes avec des arguments arbitraires.

En d’autres termes, un attaquant peut provoquer une exécution de code arbitraire à distance et une atteinte à l’intégrité des données. Selon l’équipe de sécurité d’Apache OpenOffice, il n’existe aucun exploit connu pour cette vulnérabilité. Elle tient à remercier Gregor Kopf de Secfault Security GmbH (Allemagne) pour avoir découvert et signalé ce vecteur d’attaque.
Toutes les versions d’Apache OpenOffice 4.1.14 et antérieures sont concernées par c correctif. Les versions d’OpenOffice.org peuvent également être affectées.

Les documents Apache OpenOffice peuvent contenir des liens qui appellent des macros internes avec des arguments arbitraires. Plusieurs schémas d’URI sont définis à cet effet. Les liens peuvent être activés par des clics ou par des événements automatiques de document. L’exécution de tels liens doit être soumise à l’approbation de l’utilisateur. Dans les versions concernées d’Apache OpenOffice, l’approbation de certains liens n’est pas demandée ; une fois activés, ces liens pourraient donc entraîner l’exécution arbitraire de scripts. Selon l’équipe de sécurité d’Apache OpenOffice, il n’existe aucun exploit connu pour cette vulnérabilité. Elle tient à remercier Amel BOUZIANE-LEBLOND (alias Icare Bug Bounty Hunter) pour avoir découvert et signalé ce vecteur d’attaque.

A noter que contrairement à d’autres applications, la mise à jour d’OpenOffice n’est pas automatique. En effet la migration vers la version 4.1.15 ne peut se faire que manuellement. Vous pouvez accéder au lien de téléchargement en cliquant sur l’aide de l’application puis sur “Vérifier les mises à jour


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Apache OpenOffice est un projet de la fondation Apache visant à produire une suite bureautique libre et gratuite. Il s'agit d'un proche cousin du projet LibreOffice, également basé sur OpenOffice.org. 

A propos de l'auteur

Retour en haut