Форум поддержки пользователей. LibreOffice, Apache OpenOffice, OpenOffice.org

Форум поддержки пользователей. LibreOffice, Apache OpenOffice, OpenOffice.org

28 Ноябрь 2020, 22:30 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Здесь можно поблагодарить участников форума Улыбка
 
   Начало   Помощь Поиск Войти Регистрация    задать вопрос  
Страниц: 1   Вниз
  Печать  
Автор Тема: Выполнение вредоносного кода в LibreOffice  (Прочитано 2303 раз)
0 Пользователей и 1 Гость смотрят эту тему.
777
Linux
Форумчанин
***
Offline Offline

Пол: Мужской
Сообщений: 60

LibreOffice 6.2.4


« Стартовое сообщение: 19 Февраль 2020, 12:06 »

Периодически кто-нибудь находит критические уязвимости в LibreOffice.
Вот лишь несколько примеров: версии 5.1.4 и 5.2.0, в 2019 году и так далее.
Мне понравился комментарий к одной из таких уязвимостей:
Цитата:
Главная проблема здесь в том, что нечего превращать текстовый процессор в среду разработки, иначе вот такие "уязвимости" будут не просто ожидаемы, а закономерны. Добавили возможность выполнения кода, и оказалось, что может быть выполнен вредоносный код. Серьезно? А какой результат они ожидали? Это уже даже не peшeто, это дуршлаг.

Исходя из вышеизложенного у меня возникло несколько вопросов:
  • начиная с какой версии LibreOffice была добавлена возможность выполнения кода? Или данная возможность была реализована ещё до появления LibreOffice, то есть ещё в OpenOffice?
  • а что в Microsoft Office? Там также выполняется вредоносных код при открытии тех же самых вредоносных документов?
Записан

Выше справедливости милосердие! А выше милосердия Любовь!!!
kompilainenn
Мастер
*****
Offline Offline

Сообщений: 3 092



« Ответ #1: 19 Февраль 2020, 12:14 »

начиная с какой версии LibreOffice была добавлена возможность выполнения кода? Или данная возможность была реализована ещё до появления LibreOffice, то есть ещё в OpenOffice?
Да, макросы работали в ООо ещё.
а что в Microsoft Office? Там также выполняется вредоносных код при открытии тех же самых вредоносных документов?
Конечно. Точно также, если вы запустите макрос и он вредоносный, то будет проблема

Тут вопрос в политиках безопасности, которые есть и в ЛибреОфис и в МСО

Записан

Поддержать разработчиков LibreOffice можно тут, а наш форум вот тут
mikekaganski
Гуру
*******
Offline Offline

Пол: Мужской
Расположение: Хабаровск -> Москва
Сообщений: 2 043


« Ответ #2: 19 Февраль 2020, 12:18 »

а что в Microsoft Office? Там также выполняется вредоносных код при открытии тех же самых вредоносных документов?
Конечно. Точно также, если вы запустите макрос и он вредоносный, то будет проблема

Вопрос, кмк, о "тех же самых" документах (и, соответственно, о тех же самых уязвимостях). Если так, то нет, у MS Office уязвимости свои.

Тут вопрос в политиках безопасности, которые есть и в ЛибреОфис и в МСО

Да, но это не панацея. В случае уязвимости ЛибреЛого (процитированной последней в вопросе) политики безопасности не учитывали этот вектор.
Записан

С уважением,
Михаил Каганский
mikekaganski
Гуру
*******
Offline Offline

Пол: Мужской
Расположение: Хабаровск -> Москва
Сообщений: 2 043


« Ответ #3: 19 Февраль 2020, 12:29 »

Мне понравился комментарий к одной из таких уязвимостей:
Цитата:
Главная проблема здесь в том, что нечего превращать текстовый процессор в среду разработки, иначе вот такие "уязвимости" будут не просто ожидаемы, а закономерны. Добавили возможность выполнения кода, и оказалось, что может быть выполнен вредоносный код. Серьезно? А какой результат они ожидали? Это уже даже не peшeто, это дуршлаг.

Процитирован бессмысленный комментарий с опеннета: он с одной стороны сообщает очевидное (при наличии возможности выполнения кода будут уязвимости в этом компоненте), а с другой - призывает к глупости ("этой функции не должно быть"). В принципе, если он прав, надо отказаться от компьютеров (всех вообще) по той же причине. И ДВС надо отменить. И колесо с бумагой. (И ДНК.)

Вопрос в ожиданиях. Если такие уязвимости воспринимать каждый раз как неожиданность, и хвататься за сердце с криком "ужас! ужас!" - тогда да, тогда лучше оставаться в детском садупесочнице. А если осознавать, что мы живём в реальном мире, то понятно, что мы всегда, в каждом нашем шаге, балансируем между опасностями (известными и неизвестными) и возможностями. Люди *хотят* иметь возможность гибко работать с информацией, находящейся в их документах. Надо только, чтобы люди осознали неизбежность компромиссов.

Кстати, первая процитированная уязвимость не имеет ничего общего с макросами, и показывает, что отказ от "превращения текстового процессора в среду разработки" не создаст мир во всём мире.
« Последнее редактирование: 19 Февраль 2020, 12:34 от mikekaganski » Записан

С уважением,
Михаил Каганский
economist
Форумчанин
***
Offline Offline

Сообщений: 1 314


« Ответ #4: 19 Февраль 2020, 13:44 »

У Excel похожих на LibreLogo уязвимостей - полно, их никто даже не собирается устранять, т.к. это - фичи:

а) макросы из доверенных областей выполняются без проверки на безопасность
б) макросы из XLA/XLAM выполняются без проверки на безопасность
в) макросы из "привилегированных областей" Sharepoint/Exchange выполняются без проверки на безопасность

Коммент в топике отсылает нас к "текстовым редакторам", но правда в том что они никому уже не нужны. Excel без макросов - скуден и не стал бы самым популярным (многочисленным) ПО на планете.

Если бы в OpenOffice|LibreOffice не было полноценного "скрытого" языка Python - не было бы тысяч программистов-любителей, сидящих под колпаком групповых политик. А это, между прочим, хороший такой, уверенный шаг в каменный век. Многие РФ-компании его сделали и ноют про низкую производительность труда, клянчат господдержку. Но никто у них, ни на одном АРМ, при всех этих торжественно внедренных ERP/CRM/EDM - не отказался от Excel/Calc. Потому что "доработка напильником" требуется каждому второму отчету, полученному из "большой" программы.   
Записан

Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...
Страниц: 1   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!