Portál AbcLinuxu, 4. května 2025 23:15

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
pushkin avatar 6.2.2019 18:50 pushkin | skóre: 43 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Odpovědět | Sbalit | Link | Blokovat | Admin
Tzn.: LibreOffice už to má opravené několik měsíců (aktuální verze je 6.1.4, dostupná je 6.2.0 RC3), zatímco OpenOffice se při svém tempu vývoje opravy nikdy nedočká.
🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina | Web4Ukrajina | Web4Ukraine 🇺🇦
Petr Tomášek avatar 7.2.2019 08:36 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Odpovědět | Sbalit | Link | Blokovat | Admin
Hm, stejně to nechápu, jak se může cokoliv v textovém dokumentu automaticky spouštět při načtení.

To jako tu budeme za chvíli mít CVE na Emacs, že se automaticky spustí kód z otevřeného textového souboru, jenom proto, že Emacs umí Lisp?

Něco je v LibreOffice hodně špatně...
multicult.fm | monokultura je zlo | welcome refugees!
pushkin avatar 7.2.2019 09:21 pushkin | skóre: 43 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
To je jednoduché - šlo o vnořené makro. Celý postup je zde. Není to tak, že by někdo otevřel ODT, ve kterém má napsaný úryvek zdrojáku, ale otevře ODT s makrem, které se po otevření automaticky spustí. To je mimo jiné důvod, proč LibreOffice i MS Office při otevírání dokumentů upozorňují na to, že dokument obsahuje makra.

V tomto případě ale selhaly dva mechanizmy - první, upozornění na makra, a druhý, který by zabránil jiné aplikace. Možná by bylo zajímavé zkusit MS Office, jestli by se zachovaly obdobně ;-)
🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina | Web4Ukrajina | Web4Ukraine 🇺🇦
Petr Tomášek avatar 7.2.2019 09:43 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Pořád nechápu, proč by textový dokument měl obsahovat takové čurákoviny...
multicult.fm | monokultura je zlo | welcome refugees!
skunkOS avatar 7.2.2019 10:30 skunkOS | skóre: 27 | blog: Tak nějak
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Možná pro to, že to není textový dokument.
http://martinrotter.github.io
Petr Tomášek avatar 7.2.2019 13:48 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Co by to bylo jinýho?
multicult.fm | monokultura je zlo | welcome refugees!
k3dAR avatar 7.2.2019 15:50 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
"ZIP-compressed XML-based file format"? viz
porad nemam telo, ale uz mam hlavu... nobody
Conscript89 avatar 7.2.2019 21:29 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Treba obrazek s kocickou. No jeste rekni ze nemas rad kocicky.
I can only show you the door. You're the one that has to walk through it.
7.2.2019 20:26 666
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
protoze ne kazdy pouziva textový procesor jenom na takove curakoviny jako je seznam na nedelni nakup...
7.2.2019 22:58 Bubak | skóre: 16 | blog: Čtvrtá cenová
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
No normalne se mi nestava, ze bych s Petrem Tomaskem v necem souhlasil, ale tady se nemuzu nepridat. Co ma takova vec co delat v texto(-sracko, aby byli uspokojeni vsichni)-editoru? Ale pro me za me, v korporatu pouzivam, co mi daji, a na svete se bez techto sracek docela dobre obejdu...
... máš jen mrtvou kočku a poškrábanýho jezevčíka ...
Fluttershy, yay! avatar 7.2.2019 23:23 Fluttershy, yay! | skóre: 93 | blog:
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Protože to není editor, nýbrž procesor, a to nikoliv nutně textu, nýbrž dokumentů, které můžou být interaktivní.

A to ještě není nic proti PowerPointu…
🇵🇸Touch grass🇺🇦 ✊ ani boha, ani pána
8.2.2019 11:27 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Tady stojí za to upozornit, že python interpreter + explicitní spouštění nějakého skriptu není nutná podmínka pro spuštění kódu při otevírání dokumentu. Víceméně jakýkoli program napsaný v C/C++ nebo podobném jazyce čelí nebezpečí, že při parsování víceméně jakéhokoli netriviálního formátu potenciálně spustí kód.

Tady se pravidelně pod zprávičkami o bezpečnostních chybách někdo rozčiluje, že JavaScript je sračka, že Python v dokumentech je "čurákovina" a že bez toho bychom neměli problémy. To je ale naivní názor. Bezpečnost je prostě těžká a stává se, že vzdálené spuštění kódu je možné i jen s nějakým "hloupým" formátem bez skriptů a za přítomnosti ochranných prvků jako NX bit apod.

(Nicméně samozřejmě souhlasim, že ty skripty attack surface zvětšují.)
SPD vůbec není proruská
6.12.2019 16:29 Barcelona Cooking Classes
Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
Odpovědět | Sbalit | Link | Blokovat | Admin
Tried and True Recipes means easy, elegant recipes and we promise, there are no novels and no life stories before the recipe.  Barcelona Cooking Classes

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.