Сравнение безопасности Microsoft Office и OpenOffice.org

21 апреля 2011 года

Ден Каминский (Dan Kaminsky), получивший известность обнаружением фундаментальной уязвимости в DNS, провёл сравнительный анализ безопасности различных версий офисных пакетов Microsoft Office и OpenOffice.org, на основании оценки числа крахов при работе пакетов в нестандартных ситуациях, таких как обработка некорректных входящих данных. В итоге была накоплена статистика о крахах, из которых были отобраны проблемы, которые потенциально могут привести к уязвимостям. На основе анализа данных был подготовлен отчет.

Вилл Дорман (Will Dormann) из организации CERT заинтересовался работой Каминского и подготовил собственный отчет, основанный на результатах ранее проведённого похожего исследования. Метод выявления ошибок у Дормана сводился к оценке реакции парсера DOC-файлов на попытки обработки случайно сгенерированных некорректных данных (в сумме было сгенерировано и проверено 190 тыс. файлов). В случае краха, проблема анализировалась при помощи инструмента "!exploitable Crash Analyzer", предназначенного для автоматического выявления возможных уязвимостей и классификации опасности проблемы.

Сделанные Каминским и Дорманом выводы во многом совпадают: за последние годы число крахов и уязвимостей, наблюдаемых в новых версиях Microsoft Office, кардинально уменьшилось и достигло показателей, которые даже ниже, чем в OpenOffice.org. Тем не менее, к подобным результатам следует относиться осторожно, так как они получены на основании автоматической оценки, которая не всегда коррелирует с реальными угрозами. Кроме того, было исследовано только поведение, связанное с обработкой DOC-файлов, в то время как рассмотренные пакеты поддерживают десятки других форматов. Также формат DOC не является родным для OpenOffice.org, поэтому можно допустить, что более высокий уровень ошибок связан с недостаточным уровнем отладки вторичных систем.

Полученные Дорманом результаты показали, что в каждой новой версии MS Office и OpenOffice.org устойчиво наблюдается уменьшение числа крахов, по сравнению с прошлыми версиями. Одновременно уменьшается и число потенциально выявленных уязвимостей. В свежей версии MS Office 10 было выявлено всего 17 крахов и 0 потенциальных уязвимостей, в то время как в выпущенном в 2001 году Office XP зафиксировано 293 краха и 7 потенциальных уязвимостей. В OpenOffice.org 3.3rc5 наблюдалось 154 краха и 15 потенциальных уязвимостей, в OpenOffice.org 3.2.1 зафиксировано 163 краха и 18 потенциальных уязвимостей.

В отчете Каминского наблюдалась примерно та же тенденция, которая отличается лишь порядком найденных проблем: В Office 2003 было выявлено 127 потенциальных уязвимостей, в Office 2007 - 12 и в Office 2010 - 7. В выпущенном в 2003 году OpenOffice.org 1.1 присутствовало 73 потенциальные уязвимости, в релизе OpenOffice.org 2.3 (2007 год) - 62 и в OpenOffice.org 3.2 - 20. По мнению Каминского налицо тенденция увеличения качества офисных пакетов. Тем не менее, из-за более высокой популярности MS Office в среде злоумышленников даже при наличии меньшего числа уязвимостей, использование данного пакета представляет больший риск, чем при использовании OpenOffice.org, плюсом которого в плане затруднения проведения атаки также является более частый выпуск релизов и большая фрагментация установочных пакетов.