LINUX.ORG.RU

OpenOffice.org становится привлекательной мишенью для хакеров


0

0

В версиях OpenOffice 1.1.x и 2.0.x Java-аплеты могут получить полный доступ к системе, читая и отправляя конфиденциальные данные и удаляя или заменяя файлы.
Вторая дыра позволяет хакерам вставлять исполняемый код в документы OpenOffice с применением макроса, срабатывающего при открытии документа.
И наконец, Уэйд Алкорн из NGSSoftware обнаружил в OpenOffice ошибку переполнения буфера.

>>> Подробности

Наверное это хорошо.
Интересно сколько ждать багфикса? Неделю? День?
Ваши ставки, господа.

kilolife ★★★★★
()
Ответ на: комментарий от GladAlex

> Что за баян: из-за них же релиз задержали, - в 2.0.3 все пофиксили!

Сходу никакого баяна не нашёл ни в гугле, ни на LOR'е.

anonymous_incognito ★★★★★
()

Просто даже как-то жалко хакеров... Как почитаешь с какой фигней им приходится работать, в каких прогах уязвимости искать.. Просто слезы на глаза наварачиваются ;-|

fugu
()

Мне больше нравился вирус, вставляющий порнокартинку :(

Payalnic ★★
()

Круто, побольше кросплатформенных вирусов !

an
()

Секундочку! Что значит ООо 1.1.х и 2.0.х? Какие именно цифры скрываются под иксами? ООо 2.0.3 только что вышел - и сразу хакеры нашли в нём кучу дыр? Ой не верю! Скорее всего они нашли их в более ранних версиях. Ну а с 1.1.х вообще сравнение вести некорректно. Так что, господа, если это вирусы именно для 2.0.3 - это одно дело, это серьёзно, а если в более старых - нечего на ООо пенять. А то так можно сказать, что в Windows найдено бесчисленное число уязвимостей и уповать в том числе на Win NT 4.0 и Win 9x.

И, кстати, у ООо 2.0.3 было то ли 6, то ли 7 релиз-кандидатов (точно не помню) и релиз задержали, чтобы всё потестить. Неужели там остались такие ошибки, которые хакеры так легко обнаружили? Не верится мне что-то.

Теперь послание для тех, кто не жмёт на ссылку "Подробности". Внимательно читаем статью по ссылке: >организация призывает всех пользователей версий 2.0.x до 2.0.2 >включительно обновить ПО на версию OpenOffice.org 2.0.3. Логично предположить, что в 2.0.3 эти ошибки исправлены.

И как после всего вышесказанного воспринимать эту "новость"? Как провокацию со стороны заинтересованных лиц?

DMA
()

уже на половине IT сайтов пробежало что в OOo нашли 3 больших дыры и рекомендовано обновиться до 2.0.3

неужели Вы едете на таком медленном паровозе что за остальными не поспеваете?

vadiml ★★★★★
()
Ответ на: комментарий от anonymous

> Началось... Вот к чему приводит тупое подражание офтопику.

Вот до чего баловство с жабой доводит. Искоренять её из OOo! А то щас ещё на php начнут куски писать.

anonymous
()

Еще один MS Office =(

Полагаю, что чем больше будут использовать Open Office, тем больше дырок будут находить в этом монстрике и тем больше будут тыкать пальцем сторону Linux :(

php-coder ★★★★★
()
Ответ на: комментарий от php-coder

>и тем больше будут тыкать пальцем сторону Linux :(

Вот интересно .. Linux то тут при чём ? Ну OO на куче платформ есть. Интересно ... а как же .. StarOffice на солярке ? ТО же дырками весь покрылся в миг ? Давайте лучше говорить "Дырявый солярис с старофисом" :)

robot12 ★★★★★
()
Ответ на: комментарий от robot12

Очевидно, что отход от Юникс-вей карается "хакерами" :) Попытки сделать аналог продуктов оффтопичной корпорации приводит к проблемам, аналогичным тем которые имеет эта корпорация.

Hokum ☆☆☆☆
()

Вообще в ООо можно прожить и без Java, ее отсутствие не критично.

Vlad_Ts ★★★★★
()
Ответ на: комментарий от kilolife

>>Наверное это хорошо.Интересно сколько ждать багфикса? Неделю? День? Ваши ставки, господа.

Фиксят кстати хорошо и быстро, не то что офтоп. В котором баги годами не правятся. Надысь коллега похвалялся вполне приличной русской фразой, при вводе которой ворды различных версий валятся более 10 лет подряд. Пробовал лично на 97-2003, оно действительно падает. Жаль фразу забыл. Вот это "высокий проффесионализм", вот это настоящее американское качество лицензионных продуктов от MS.

anonymous
()
Ответ на: комментарий от kilolife

>Интересно сколько ждать багфикса? Неделю? День?

дык мой oo вурсии 1.1.1 суся уже неделю назад пропатчила :).

vtVitus ★★★★★
()
Ответ на: комментарий от anonymous

Это наши начудили, "Информатик А.О.", чья проверка орфографии используется в офисе.

Хотя MS от этого невиновнее не становится.

Deleted
()
Ответ на: комментарий от DMA

>И как после всего вышесказанного воспринимать эту "новость"? Как провокацию со стороны заинтересованных лиц?

Просто это констатация простого факта, что все баги присущие Микрософт офису, воспроизводятся в ОО, с точностью до небезопасного исполнения макросов при открытии файла. Все эти мифы "о миллионах глаз" которые смотрют в открытые исходники и позволяют избежать ошибок - на поверку оказались блефом.

Таким образом концепция о том, что опенсорс код якобы более безопасен терпит фиаско.

Sun-ch
() автор топика
Ответ на: комментарий от Sun-ch

Нет, не терпит. Настоящие хакеры, способные разобраться в коде, обнаружить уязвимости не лезут в эту сановскую помойку. И вообще, сановский опенсоурс какой-то не такой - по опенсолярису видно... Так что OOO не показательный пример в этом смысле.

Hokum ☆☆☆☆
()
Ответ на: комментарий от Sun-ch

> Все эти мифы "о миллионах глаз" которые смотрют в открытые исходники и >позволяют избежать ошибок - на поверку оказались блефом

что за бред. Как будто ОО это типичная опен сорс разработка ... это поделие сана на его деньги его сотрудниками никто в его код не заглядывает. Открытые исходники ОО это чисто маркетинг сана.

vtVitus ★★★★★
()
Ответ на: комментарий от Sun-ch

Дык вроде опенсорс сам по себе не обещал безглючности. Вот опен сорс + юникс вей --- это да, они могут.

anonymous
()
Ответ на: комментарий от Hokum

Ну дареному коню в зубы не смотрят, хотя (имхо) ОО это одно из самых важных приложений на десктопе и те кто хочет реально продвигать линакс в корпоративном секторе должны активно его развивать.

Sun-ch
() автор топика
Ответ на: комментарий от Sun-ch

> Ну дареному коню в зубы не смотрят, хотя (имхо) ОО это одно из самых важных приложений на десктопе и те кто хочет реально продвигать линакс в корпоративном секторе должны активно его развивать.

А, ну да. Только тогда это не на ЛОРе надо обсуждать, а с Novell, IBM или кто там ещё? :)

yyk ★★★★★
()
Ответ на: комментарий от php-coder

> Полагаю, что чем больше будут использовать Open Office, тем больше дырок будут находить в этом монстрике и тем больше будут тыкать пальцем сторону Linux :(

Очень хорошо. Сильных не жалеют, их боятся. А вообще все это бред. Кто-нибудь слышал о реальных проблемах возникших хоть в одной мало-мальски крупной компании из-за багов обнаруженных хакерами в OO?

kda ★★★★★
()

> ...Java-аплеты могут получить полный доступ к системе ...
Так ведь в Яве можно на уровне виртуальной машины ограничивать
возможности кода. Прописал какие директории доступны, к каким
портам разрешить доступ, и не будут апплеты беспредельничать.
Тут главное это всё гармонично в офис встроить.

alebu
()

> В версиях OpenOffice 1.1.x и 2.0.x Java-аплеты могут получить полный доступ к системе, читая и отправляя конфиденциальные данные и удаляя или заменяя файлы.

Это все из staroffice ноги у проблем растут (и там те же проблемы с безопасностью). Ну не умеет сан писать нормальный сколько-либо безопасный и надежный код, что тут еще сказать? Разработчики OOo, конечно, тоже виноваты в том, что недоглядели, и пропустили куски сановского кода без проверки. Теперь будет им наука...

anonymous
()
Ответ на: комментарий от Sun-ch

>Просто это констатация простого факта, что все баги присущие Микрософт офису, воспроизводятся в ОО, с точностью до небезопасного исполнения макросов при открытии файла

в соляре надо понимать тоже воспроизводятся баги виннт? тогда ты наверное уже и табуретку и мыло с веревкой подготовил

>Все эти мифы "о миллионах глаз" которые смотрют в открытые исходники

ага. а ядро линукса пишет один человек, а кде с гномом он же, в свободное от ядра время. уссаныч бросай клей нюхать

>Таким образом концепция о том, что опенсорс код якобы более безопасен терпит фиаско.

подмена понятий. вывод из данной новости - солнцевские пишут настолько плохой и убогий трихобезоаристый код, что даже миллион глаз им не поможет

зы. очередная попытка уссаныча поднять флейм провалилась. в очередной раз этот клоун опозорен, с чем лоровцев и поздравляю

anonymous
()
Ответ на: комментарий от Sun-ch

>Ну дареному коню в зубы не смотрят

ну так чего ты опенсорсу все норовишь гуда то заглянуть, а потом испугано на лоре постишься

>реально продвигать линакс

а что это такое? какая то новая операционка? очередное поделие солнцевских которых ты пеаришь постоянно? какое она имеет отношение к линуксу и лору?

anonymous
()
Ответ на: комментарий от DMA

>И как после всего вышесказанного воспринимать эту "новость"? Как провокацию со стороны заинтересованных лиц?

просто саныч как всегда тролит ;)

AcidumIrae ★★★★★
()
Ответ на: комментарий от AcidumIrae

Да нет, просто прогнозы о том, что пользователь линакс десктопов будет скоро иметь тот же букет проблем в виде вирусов, троянов, зловредных макросов в документах начинают сбыватся.

Sun-ch
() автор топика
Ответ на: комментарий от Sun-ch

Ну, во-первых, тут масса народу утверждает, что используют Винду и при этом ни разу ни глюка, ни вируса ни хакера ни куки не видели :) Во-вторых, сам по себе заголовок весьма спорен и построенные на нём выводы соответственно, тоже. OOO не обязательно имеет яву, кроме того, на ЛОР уже поднималась тема того, что даже наличие уязвимости будет иметь неодинаковые последствия.

Hokum ☆☆☆☆
()
Ответ на: комментарий от Sun-ch

>Да нет, просто прогнозы о том, что пользователь линакс десктопов будет скоро иметь тот же букет проблем в виде вирусов, троянов, зловредных макросов в документах начинают сбыватся.

чтобы они начали сбываться Linux должен занять заметную долю десктопа, чтобы заинтересовать вирусописателей и прочих редисок

а конкретно по топику - пофиксили ж это в 2.0.3 ;)

IMHO фиксят побыстрее чем в оффтопике?

AcidumIrae ★★★★★
()
Ответ на: комментарий от Sun-ch

> Да нет, просто прогнозы о том, что пользователь линакс десктопов будет скоро иметь тот же букет проблем в виде вирусов, троянов, зловредных макросов в документах начинают сбыватся.

Если юзер генетически далбайоп, то только дуплет в репу его надежно излечит от всякой вирусни. А образование на уровне гарлемской школы для подростков-рецидивистов не дает права называться "пользователем".

Gharik
()
Ответ на: комментарий от Hokum

>на ЛОР уже поднималась тема того, что даже наличие уязвимости будет иметь неодинаковые последствия.

"Вторая дыра позволяет хакерам вставлять исполняемый код в документы OpenOffice с применением макроса, срабатывающего при открытии документа. Этот макрос без ведома пользователя получает полный доступ к системным ресурсам с текущими привилегиями пользователя."

Чего еще тебе надо? А что делать с документами, приходящими извне, как их проверить?

Просить у дяди Каспера, что как можно скорее антивирь под линакс написал?

Sun-ch
() автор топика

>И наконец, Уэйд Алкорн из NGSSoftware обнаружил в OpenOffice ошибку переполнения буфера.

таких там наверняка еще тысячи остались. надо было переделать все на жабА, тогда и переполнений буфера небыло бы и работало все быстрее и память не жрало насосом... но нет! ежики плакали, кололись И (все равно) ляпали на С++...

anonymous
()
Ответ на: комментарий от Gharik

Тагет груп для линакса - это корпаративный пипл, который сейчас сидит под виндой, лечить их уже поздно.

Sun-ch
() автор топика
Ответ на: комментарий от Sun-ch

> прогнозы о том, что пользователь линакс десктопов будет скоро иметь тот же букет проблем в виде вирусов, троянов, зловредных макросов в документах начинают сбыватся.

Дык, никто не заставляет пользоваться OO или StarOfice. Есть много других редакторов - Tex, Emacs, vim наконец. "зловредный макрос vi" - это что-то ;)

anonymous
()
Ответ на: комментарий от Sun-ch

Если вопрос задан серьёзно, то изоляция пакета ООО и открытие в нём. Средства изоляции наличинствуют и в Линуксе и в Соляре и в БСД.

Hokum ☆☆☆☆
()
Ответ на: комментарий от anonymous

> Дык, никто не заставляет пользоваться OO или StarOfice. Есть много других редакторов - Tex, Emacs, vim наконец. "зловредный макрос vi" - это что-то ;)

MS Office- ная зараза уже давно распространилась повсюду. Документооборот в подавляющем большинстве контор построен на офисных документах.

eRazor ★★★
()
Ответ на: комментарий от Sun-ch

> "Вторая дыра позволяет хакерам вставлять исполняемый код в документы OpenOffice с применением макроса, срабатывающего при открытии документа. Этот макрос без ведома пользователя получает полный доступ к системным ресурсам с текущими привилегиями пользователя."

Что такое "полный доступ к системным ресурсам с текущими привилегиями пользователя"? Десятилетиями обсасываемая тема "не сиди под рутом" видимо просто зациклилась...

Gharik
()
Ответ на: комментарий от Sun-ch

> Тагет груп для линакса - это корпаративный пипл, который сейчас сидит под виндой, лечить их уже поздно.

"Для OOo", IMHO. Внедрять линукс в устоявшийся техпроцесс в корпорациях чревато, если оные корпорации не IBM/SUN/etc, кои изначально юниксовые.

Gharik
()
Ответ на: комментарий от Gharik

>Что такое "полный доступ к системным ресурсам с текущими привилегиями пользователя"? Десятилетиями обсасываемая тема "не сиди под рутом" видимо просто зациклилась...

В том то и дело, что увлеклись обсасыванием этой темы. Мне как раз глубоко наср^Wвсё равно, какие рутовые файлы пропадут: я не слакваршик, и легко могу восстановить системные пакеты. Но файлы лежащие у меня в ~, для меня очень ценны.

Что теперь, заводить по дополнительному пользователю на каждую прогу? Один для фаерфокса, один для опенофиса, и т.д..? Очень классно, если за компом работают 4 человека и каждый пользуется 10ю прогами, мне теперь надо 44 пользователя заводить? Толково придумано.

alt-x ★★★★★
()
Ответ на: комментарий от Sun-ch

> "Этот макрос без ведома пользователя получает полный доступ к системным ресурсам с текущими привилегиями пользователя."

ёлы-палы... ключевые слова -- "с текущими привилегиями пользователя". Пользователь с пользовательскими правами способен только пользоваться системой, но не поганить её. Вот СВОИ файлы он может завирусить в два счета, как и пустить в распыл. Пусть юзер хоть набирает патч Бармина -- НЕ от рута. А вот если он под рутом сидит и пускает охвисы -- ССЗБ.

Между прочим -- почему бы не отключать макросы по дефолту? Все дружно вспомнили ста-а-арую историю про прогу turkey и подумали: на кой надо запускать пришедшую извне чужую ПРОГРАММУ, которая может делать что угодно? Чем больше софт будет подстраиваться под Бивиса и Батхеда, тем больше проблем у оных возникнет, ибо "безопасность" = 1/"удобство для полного чайника".

Zerg324
()
Ответ на: комментарий от alt-x

> В том то и дело, что увлеклись обсасыванием этой темы. Мне как раз глубоко наср^Wвсё равно, какие рутовые файлы пропадут: > я не слакваршик, и легко могу восстановить системные пакеты. Но файлы лежащие у меня в ~, для меня очень ценны.

Открой для себя backup в места не доступные пользователю.

> Что теперь, заводить по дополнительному пользователю на каждую прогу? > Один для фаерфокса, один для опенофиса, и т.д..? Очень классно, если за компом работают 4 человека и каждый пользуется 10ю прогами, мне теперь надо 44 пользователя заводить? Толково придумано.

Если хочешь чтобы было намного безопаснее чем в винде - не делай ничего, уже все гораздо безопаснее.

Если хочешь еще больше - включи авто-upgrade security fixes своего дистрибутива.

Если еще больше - можно 44 пользователя скриптом завести, это толково придумано, есть еще другие толковые варианты - Novell appArmor, SELinux, grsecurity ...

szh ★★★★
()
Ответ на: комментарий от Gharik

>Внедрять линукс ... в корпорациях чревато, если оные корпорации не IBM/SUN/etc, кои изначально юниксовые

Это IBM-то юниксовая? Скорее уж изначально перфокарточная!

zaregazza
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.