Сравнение безопасности Microsoft Office и OpenOffice.org

22 апреля 2011 г.

Ден Каминский (Dan Kaminsky), получивший известность обнаружением фундаментальной уязвимости в DNS, провёл сравнительный анализ безопасности различных версий офисных пакетов Microsoft Office и OpenOffice.org, на основании оценки числа крахов при работе пакетов в нестандартных ситуациях, таких как обработка некорректных входящих данных. В итоге была накоплена статистика о крахах, из которых были отобраны проблемы, которые потенциально могут привести к уязвимостям. На основе анализа данных был подготовлен отчет.

Вилл Дорман (Will Dormann) из организации CERT заинтересовался работой Каминского и подготовил собственный отчет, основанный на результатах ранее проведённого похожего исследования. Метод выявления ошибок у Дормана сводился к оценке реакции парсера DOC-файлов на попытки обработки случайно сгенерированных некорректных данных (в сумме было сгенерировано и проверено 190 тыс. файлов). В случае краха, проблема анализировалась при помощи инструмента "!exploitable Crash Analyzer", предназначенного для автоматического выявления возможных уязвимостей и классификации опасности проблемы.

Сделанные Каминским и Дорманом выводы во многом совпадают: за последние годы число крахов и уязвимостей, наблюдаемых в новых версиях Microsoft Office, кардинально уменьшилось и достигло показателей, которые даже ниже, чем в OpenOffice.org. Тем не менее, к подобным результатам следует относиться осторожно, так как они получены на основании автоматической оценки, которая не всегда коррелирует с реальными угрозами. Кроме того, было исследовано только поведение, связанное с обработкой DOC-файлов, в то время как рассмотренные пакеты поддерживают десятки других форматов. Также формат DOC не является родным для OpenOffice.org, поэтому можно допустить, что более высокий уровень ошибок связан с недостаточным уровнем отладки вторичных систем.

Полученные Дорманом результаты показали, что в каждой новой версии MS Office и OpenOffice.org устойчиво наблюдается уменьшение числа крахов, по сравнению с прошлыми версиями. Одновременно уменьшается и число потенциально выявленных уязвимостей. В свежей версии MS Office 10 было выявлено всего 17 крахов и 0 потенциальных уязвимостей, в то время как в выпущенном в 2001 году Office XP зафиксировано 293 краха и 7 потенциальных уязвимостей. В OpenOffice.org 3.3rc5 наблюдалось 154 краха и 15 потенциальных уязвимостей, в OpenOffice.org 3.2.1 зафиксировано 163 краха и 18 потенциальных уязвимостей.


В отчете Каминского наблюдалась примерно та же тенденция, которая отличается лишь порядком найденных проблем: В Office 2003 было выявлено 127 потенциальных уязвимостей, в Office 2007 - 12 и в Office 2010 - 7. В выпущенном в 2003 году OpenOffice.org 1.1 присутствовало 73 потенциальные уязвимости, в релизе OpenOffice.org 2.3 (2007 год) - 62 и в OpenOffice.org 3.2 - 20. По мнению Каминского налицо тенденция увеличения качества офисных пакетов. Тем не менее, из-за более высокой популярности MS Office в среде злоумышленников даже при наличии меньшего числа уязвимостей, использование данного пакета представляет больший риск, чем при использовании OpenOffice.org, плюсом которого в плане затруднения проведения атаки также является более частый выпуск релизов и большая фрагментация установочных пакетов.
 

Последние новости

апрель
12
2018

Новый сайт компании LG Hausys

Опубликован новый русскоязычный сайт компании LG Hausys

подробнее
декабрь
28
2017

Сайт Becker

Опубликован новый сайт Becker-International

подробнее