Выполнение вредоносного кода в LibreOffice

[777]

Периодически кто-нибудь находит критические уязвимости в LibreOffice.
Вот лишь несколько примеров: версии 5.1.4 и 5.2.0, в 2019 году и так далее.
Мне понравился комментарий к одной из таких уязвимостей:

Главная проблема здесь в том, что нечего превращать текстовый процессор в среду разработки, иначе вот такие "уязвимости" будут не просто ожидаемы, а закономерны. Добавили возможность выполнения кода, и оказалось, что может быть выполнен вредоносный код. Серьезно? А какой результат они ожидали? Это уже даже не peшeто, это дуршлаг.

Исходя из вышеизложенного у меня возникло несколько вопросов:

• начиная с какой версии LibreOffice была добавлена возможность выполнения кода? Или данная возможность была реализована ещё до появления LibreOffice, то есть ещё в OpenOffice?
• а что в Microsoft Office? Там также выполняется вредоносных код при открытии тех же самых вредоносных документов?

[kompilainenn]

начиная с какой версии LibreOffice была добавлена возможность выполнения кода? Или данная возможность была реализована ещё до появления LibreOffice, то есть ещё в OpenOffice?

Да, макросы работали в ООо ещё.

а что в Microsoft Office? Там также выполняется вредоносных код при открытии тех же самых вредоносных документов?

Конечно. Точно также, если вы запустите макрос и он вредоносный, то будет проблема

Тут вопрос в политиках безопасности, которые есть и в ЛибреОфис и в МСО

[mikekaganski]

а что в Microsoft Office? Там также выполняется вредоносных код при открытии тех же самых вредоносных документов?

Конечно. Точно также, если вы запустите макрос и он вредоносный, то будет проблема

Вопрос, кмк, о "тех же самых" документах (и, соответственно, о тех же самых уязвимостях). Если так, то нет, у MS Office уязвимости свои.

Тут вопрос в политиках безопасности, которые есть и в ЛибреОфис и в МСО

Да, но это не панацея. В случае уязвимости ЛибреЛого (процитированной последней в вопросе) политики безопасности не учитывали этот вектор.

[mikekaganski]

Мне понравился комментарий к одной из таких уязвимостей:

Главная проблема здесь в том, что нечего превращать текстовый процессор в среду разработки, иначе вот такие "уязвимости" будут не просто ожидаемы, а закономерны. Добавили возможность выполнения кода, и оказалось, что может быть выполнен вредоносный код. Серьезно? А какой результат они ожидали? Это уже даже не peшeто, это дуршлаг.

Процитирован бессмысленный комментарий с опеннета: он с одной стороны сообщает очевидное (при наличии возможности выполнения кода будут уязвимости в этом компоненте), а с другой - призывает к глупости ("этой функции не должно быть"). В принципе, если он прав, надо отказаться от компьютеров (всех вообще) по той же причине. И ДВС надо отменить. И колесо с бумагой. (И ДНК.)

Вопрос в ожиданиях. Если такие уязвимости воспринимать каждый раз как неожиданность, и хвататься за сердце с криком "ужас! ужас!" - тогда да, тогда лучше оставаться в детском садупесочнице. А если осознавать, что мы живём в реальном мире, то понятно, что мы всегда, в каждом нашем шаге, балансируем между опасностями (известными и неизвестными) и возможностями. Люди *хотят* иметь возможность гибко работать с информацией, находящейся в их документах. Надо только, чтобы люди осознали неизбежность компромиссов.

Кстати, первая процитированная уязвимость не имеет ничего общего с макросами, и показывает, что отказ от "превращения текстового процессора в среду разработки" не создаст мир во всём мире.

[economist]

У Excel похожих на LibreLogo уязвимостей - полно, их никто даже не собирается устранять, т.к. это - фичи:

а) макросы из доверенных областей выполняются без проверки на безопасность
б) макросы из XLA/XLAM выполняются без проверки на безопасность
в) макросы из "привилегированных областей" Sharepoint/Exchange выполняются без проверки на безопасность

Коммент в топике отсылает нас к "текстовым редакторам", но правда в том что они никому уже не нужны. Excel без макросов - скуден и не стал бы самым популярным (многочисленным) ПО на планете.

Если бы в OpenOffice|LibreOffice не было полноценного "скрытого" языка Python - не было бы тысяч программистов-любителей, сидящих под колпаком групповых политик. А это, между прочим, хороший такой, уверенный шаг в каменный век. Многие РФ-компании его сделали и ноют про низкую производительность труда, клянчат господдержку. Но никто у них, ни на одном АРМ, при всех этих торжественно внедренных ERP/CRM/EDM - не отказался от Excel/Calc. Потому что "доработка напильником" требуется каждому второму отчету, полученному из "большой" программы.   

[l1]

Натнулся на пост))...

Может кому полезно будет:
для "штатного" запрета макросов использую GPO - с настройками для безопасности макросов "высокий уровень" и закрытыми доверенными источниками - пункты у пользователей заблокированы.
Частично вырезаны пункты меню (через редактирование %appData%\LibreOffice\4\user\config\)

[economist]

А запуск python\beanshell\java из LO заблокированы?

Его ведь, питон этот, только удалять. А то вдруг найдется умник и сделает os.remove('C:\Windows\*.*') или os.system('sudo rm -rf')

Политика запретов автоматизации в офисных пакетах и хирургия пунктов меню - деструктивна и бесчеловечна по отношению к пользователям. Я бы на такое не подписался.