Все новости от 5 июля 2006 г.

В OpenOffice исправлены три опасные ошибки

OpenOffice.org выпустила патчи для трех обнаруженных пробелов в защите своего популярного открытого офисного ПО. В бюллетене компания сообщает, что в версиях OpenOffice 1.1.x и 2.0.x вредоносные Java-аплеты могут вырваться из песочницы — механизма защиты, в котором работает ненадежный код. В результате они могут получить полный доступ к системе, читая и отправляя конфиденциальные данные и удаляя или заменяя файлы.

Вторая дыра позволяет хакерам вставлять исполняемый код в документы OpenOffice с применением макроса, срабатывающего при открытии документа. Этот макрос без ведома пользователя получает полный доступ к системным ресурсам с текущими привилегиями пользователя, опять же позволяя читать и отправлять конфиденциальные данные и удалять или заменять файлы.

Наконец, Уэйд Алкорн из NGSSoftware обнаружил в OpenOffice ошибку переполнения буфера.

Чтобы защититься от первой уязвимости, можно запретить в OpenOffice поддержку Java-аплетов. Для ошибок макроса и переполнения буфера таких обходных путей не существует.

Хотя OpenOffice утверждает, что об эксплойтах для этих уязвимостей в настоящее время сведений нет, организация призывает всех пользователей версий 2.0.x до 2.0.2 включительно обновить ПО на версию OpenOffice.org 2.0.3. Исправления для OpenOffice.org 1.1.5 пока отсутствуют, но будут выпущены «в ближайшее время».

Как утверждает секьюрити-фирма Secunia, эти уязвимости присутствуют также в StarOffice 6.x, 7.x и 8.x., а также StarSuite 7.x и 8.x. StarOffice и StarSuite — это коммерческие версии офисного ПО от Sun, основанные на том же коде, что и OpenOffice. Для StarOffice и StarSuite версий 7.x и 8.x выпущены исправления.

Во вторник OpenOffice.org признала, что по мере роста популярности ее комплекса он может стать более привлекательной мишенью для хакеров, но утверждает, что структура организации позволяет ей быстрее реагировать на угрозы по сравнению с производителями проприетарного ПО, такими как Microsoft. «Я убежден, что любое программное обеспечение, когда оно становится популярным, может стать мишенью для хакеров, — сказал ZDNet UK менеджер по маркетингу проекта OpenOffice.org Кристиан Дрига. — Важно, как быстро организация может отреагировать. В открытом сообществе много пользователей, которые сообщают о любых обнаруженных проблемах, и наши разработчики реагируют моментально. Мы быстрее выпускаем патчи, чем Microsoft. К тому же у OpenOffice много активных сообществ, говорящих на разных языках, которые всегда готовы отреагировать».

Дрига отрицает, что обнародование уязвимостей может повредить репутации OpenOffice. «У нас есть группа безопасности, которая занимается уязвимостями 24 часа в сутки, а также сообщество open source. Быстрое реагирование предотвратит снижение популярности», — сказал он. 

 Предыдущие публикации:

Обсуждение и комментарии

	Yuri Abele 5 Jul 2006 11:25 AM
Ежик медитирует: - "Я самый умный, я самый умный" - "Я самый красивый, я самый красивый" - ПУК! - "Это не я, это не я"
	wboss 5 Jul 2006 12:46 PM
> Мы быстрее выпускаем патчи... Так если все равно выпускаете патчи, то в чем ваше отличие от МС? О чем шум?
	Угрюмый сангвиник 5 Jul 2006 1:28 PM
2 wboss Есть только одна программа, которая никогда не потребует патча. Она известна под названием "Hello, world!".
	dimav 5 Jul 2006 1:53 PM
"wboss > Мы быстрее выпускаем патчи... Так если все равно выпускаете патчи, то в чем ваше отличие от МС? О чем шум" в том что их выпускают. А не делают вид что проблемы нет и тем более не преследуют авторов нашедших уязвимость... Хотя за последние полгода MS стала работать оперативнее но ...
	нц 5 Jul 2006 3:22 PM
а автообновление есть? иначе какой толк в выпуске патчей...
	OO 5 Jul 2006 3:49 PM
автообновление есь, точнее появилось в 2.0.3
	Wintermute - devnul.ru 5 Jul 2006 4:13 PM
2 Угрюмый сангвиник: В твоей программе пропущен оператор print.
	anonymous c LOR 5 Jul 2006 5:47 PM
Wintermute: ага, уже бежим выпускать пач :)
	Ender 5 Jul 2006 8:05 PM
А еще говорят что для Linux вирусы не проблема и код типа более правильный... что собственно предрекалось постепенно сбывается, с выходом в продуктов опенсорс коммъюнити в свет.
	LORist 5 Jul 2006 8:39 PM
2Ender: так оно и есть. Эта уязвимость более опасна для Windows версии OpenOffice, чем для Linux.
	Wintermute - devnul.ru 5 Jul 2006 10:15 PM
2 anonymous c LOR: Оперативно реагируете!
	Wintermute - devnul.ru 5 Jul 2006 10:16 PM
2 LORist: Точно. Под люниксом и небо голубее, и вода мокрее, и девки... Н-да, ну, ладно.
	grajdanin 6 Jul 2006 8:25 PM
Ну вот приехали :) А шуму то было, вирусов нет, аддонов нет ...
	Ender 7 Jul 2006 6:24 AM
2grajdanin: "Ну вот приехали :) А шуму то было, вирусов нет, аддонов нет ..." Все еще у них будет. Начало то так себе 5% на десктопах, если поднимутся хотя бы до 20..30%, что само по себе деяние героическое, отгребут по полной программе.
	Yuri Abele 7 Jul 2006 10:58 AM
5 июля, 2006, 13:53 - dimav > тем более не преследуют авторов нашедших уязвимость... Ээээээ простите?!... Я думаю Вы имели в виду тех, кто нашел и не дав время на исправление опубликовал. Таких стоит публично забрасывать камнями.
	Dmr 8 Jul 2006 9:30 AM
1.В финальной версии 2.0.3 professional дыры залатаны ( "Все эти баги были исправлены перед самым выходом"). 2.Уже появиась система бинарных обновлений под ООо2.0.2 professional для версии без JRE. тем самым можно за меньшие деньги с интернета обновлять новые версии. 3.Многие из вас помнят, что "если вы написали программу и она у вас работает - обратитесь к программисту и он ее исправит. А насчет Мелкософта - то он до сих пор исправляет ошибки, заложенные в предыдущих версиях офиса (Совместимость!). У меня OOo2.0.3 правильно открывает файлы от MSO в отличие от самого MSO. А еще я с помощью OOo восстановил порушенные файлы (в результате совместной работы в MSO с одним xls файлом). И наверняка такие факты можно продолжать и дальше, не говоря уже о свободном распространении OOo.
	Wintermute - devnul.ru 10 Jul 2006 11:19 AM
2 Dmr: "У меня OOo2.0.3 правильно открывает файлы от MSO в отличие от самого MSO. А еще я с помощью OOo восстановил порушенные файлы" Аффта жжот! Пешы исчо!