mboost-dp1
OpenOffice.org
<obliviousness>Er det en god ide at opdatere til en ny version? OH RLY?!?!</obliviousness>
Ahem.. :-)
Det er ingen overraskelse at en sådan fejl ville kunne opstå i så ekstensivt og veldækket program som OpenOffice. Dog lyder det lidt far fetched der er en kritisk sikkerhedsfejl, men kun hvis du åbner et specielt udformet database-dokument...
Jeg ville have kaldt det mellem / høj, måske, men ikke kritisk. I mean... Come on. :-/
Ahem.. :-)
Det er ingen overraskelse at en sådan fejl ville kunne opstå i så ekstensivt og veldækket program som OpenOffice. Dog lyder det lidt far fetched der er en kritisk sikkerhedsfejl, men kun hvis du åbner et specielt udformet database-dokument...
Jeg ville have kaldt det mellem / høj, måske, men ikke kritisk. I mean... Come on. :-/
Desværre for open office er programmet ikke selv opdaterene og derfor er der mange der ikke opdager at der er kommet en ny version!
Det ska lige siges at den nye version har problemer med at være utrolig langsom, især med dens formel editor.
heh - prøver ellers at holde min OOffice opdateret men må indrømmer at jeg har glemt det i forbindelse med projekt ^^
Men det er rart at de påpeger der er en svaghed - men ville som #1 ikke kalde den kritisk da det lyder om ikke enhver kan udnytte svagheden(vil jeg tro - men igen hackere har skillz)
Men vil overveje at opdatere hvis jeg får tid til det engang imellem jul og nytår :D
Men det er rart at de påpeger der er en svaghed - men ville som #1 ikke kalde den kritisk da det lyder om ikke enhver kan udnytte svagheden(vil jeg tro - men igen hackere har skillz)
Men vil overveje at opdatere hvis jeg får tid til det engang imellem jul og nytår :D
MadsDOS skrev:Desværre for open office er programmet ikke selv opdaterene og derfor er der mange der ikke opdager at der er kommet en ny version!
Hvad er det for noget vrøvl at lukke ud? Prøv at kigge i hjælp-menuen, der er et nydeligt punkt der hedder "Check for updates", og hvis du gad kigge efter ville du se at en normal install af OO.org tjekker efter updates en gang om ugen.
#6:
Det er rart at de udpeger den, ja, men KRITISK? :-P
Hvis det er kritisk er det jo i stil med at det kompromiserer enhver computer uanset hvem der sidder bag den - men hvis det f.eks. er dig eller mig, jamen så ved vi da at hvis der er en eller anden skummel side der prøver at starte et OO-dokument, så skal den dælme ikke have lov til det... :-)
Det er rart at de udpeger den, ja, men KRITISK? :-P
Hvis det er kritisk er det jo i stil med at det kompromiserer enhver computer uanset hvem der sidder bag den - men hvis det f.eks. er dig eller mig, jamen så ved vi da at hvis der er en eller anden skummel side der prøver at starte et OO-dokument, så skal den dælme ikke have lov til det... :-)
#1 ZiN
Det er da noget vås at sige en sikkerhedsfejl der giver root access ikke er kritisk. Enhver fejl af sådan en art skal katergoriseres som værende kritisk. Vi kan dervæst diskutere hvor stor en prioritet sådan en kritisk fejl bør have for at blive rettet.
Kategoriseringen af en kritisk fejl afhænger ikke af hvor ofte denne kan optræde, men hvad en bruger med "malicious intent" kan gøre ved at udnytte denne fejl.
Det er da noget vås at sige en sikkerhedsfejl der giver root access ikke er kritisk. Enhver fejl af sådan en art skal katergoriseres som værende kritisk. Vi kan dervæst diskutere hvor stor en prioritet sådan en kritisk fejl bør have for at blive rettet.
Kategoriseringen af en kritisk fejl afhænger ikke af hvor ofte denne kan optræde, men hvad en bruger med "malicious intent" kan gøre ved at udnytte denne fejl.
#7 Cyrack
Jeg vil foreslå at du prøver at hente den danske version af openoffice til windows. Der er den funktion ikke i hjælp.
Derfor vær venlig at kontrollere i alle udgaver inden at du bare siger at den er der, ellers vær venlig at nævne hvilke udgaver at du refere til.
Jeg ved at funktionen "Check for updates" ikke er i den danske udgave af openoffice.org 2.3 fordi jeg selv køre med den.
Jeg vil foreslå at du prøver at hente den danske version af openoffice til windows. Der er den funktion ikke i hjælp.
Derfor vær venlig at kontrollere i alle udgaver inden at du bare siger at den er der, ellers vær venlig at nævne hvilke udgaver at du refere til.
Jeg ved at funktionen "Check for updates" ikke er i den danske udgave af openoffice.org 2.3 fordi jeg selv køre med den.
#9:
Root access? Kun hvis dokumentet køres som root, som i forvejen er "bad practice", ud over at åbne et dokument (eller noget overhovedet) fra en ukendt kilde.
Niveauet på en exploit rateres, efter min opfattelse, altid efter to ting; Effekt (som, rigtigt nok er kritisk) og affected (altså hvordan det kan implementeres at udnytte fejlen). I dette tilfælde skal der, som der står i nyheden, åbnes et dokument af en speciel type hvori der skal være lagt noget kode som så skal give ham, der har sendt dig filen kontrol over din PC...
Altså, temmelig lav. Den samlede risici er derfor ikke "kritisk", men noget lavere, afhængig af hvem der sidder bag skærmen - og hvad værre er.. Problemet er allerede fikset, i den nyeste version.
Root access? Kun hvis dokumentet køres som root, som i forvejen er "bad practice", ud over at åbne et dokument (eller noget overhovedet) fra en ukendt kilde.
Niveauet på en exploit rateres, efter min opfattelse, altid efter to ting; Effekt (som, rigtigt nok er kritisk) og affected (altså hvordan det kan implementeres at udnytte fejlen). I dette tilfælde skal der, som der står i nyheden, åbnes et dokument af en speciel type hvori der skal være lagt noget kode som så skal give ham, der har sendt dig filen kontrol over din PC...
Altså, temmelig lav. Den samlede risici er derfor ikke "kritisk", men noget lavere, afhængig af hvem der sidder bag skærmen - og hvad værre er.. Problemet er allerede fikset, i den nyeste version.
#13 - Cyrack
<offtopic>
Jeg skal ikke kunne svare for MadsDOS, men når jeg nævner at jeg personligt bruger openoffice.org så nævner jeg som regel ikke hvilken sprog udgave jeg bruger, med mindre jeg bliver spurt.
Men dette er bare mig.
</offtopic>
<ontopic>
jeg vil dog sige at som nævnt af flere her så syntes jeg det er dejligt nok at blive gjort opmærksom på ting som dette.
Som nævnt skal nyheden også afspejle fejlen bedst muligt.
</ontopic>
<offtopic>
Jeg skal ikke kunne svare for MadsDOS, men når jeg nævner at jeg personligt bruger openoffice.org så nævner jeg som regel ikke hvilken sprog udgave jeg bruger, med mindre jeg bliver spurt.
Men dette er bare mig.
</offtopic>
<ontopic>
jeg vil dog sige at som nævnt af flere her så syntes jeg det er dejligt nok at blive gjort opmærksom på ting som dette.
Som nævnt skal nyheden også afspejle fejlen bedst muligt.
</ontopic>
Til dem der også finder openoffice.org langsom.
Efter noget tids søgen har jeg endelig fundet en ftp med den nyeste danske version på.
http://ftp.linux.cz/pub/localization/OpenOffice.or...
Efter noget tids søgen har jeg endelig fundet en ftp med den nyeste danske version på.
http://ftp.linux.cz/pub/localization/OpenOffice.or...
#ZIN
Okay, nu skal jeg ærligt indrømme at jeg ikke kender the inner working af OO, men med antagelse af at fejlen ligger i deres databasehåndtering, og man burde kunne embedde database objekter i fx regneark, præsentationer eller writer dokumenter. Så spørgsmålet er om det er nok at undgå at åbne database filer i OO, eller om injectionen også kan ske gennem de andre filer, hvis de embedder den database fil i sig.
Og nu skal du ikke sige at du aldrig ville åbne en fil fra nettet, vel.. ? :)
Okay, nu skal jeg ærligt indrømme at jeg ikke kender the inner working af OO, men med antagelse af at fejlen ligger i deres databasehåndtering, og man burde kunne embedde database objekter i fx regneark, præsentationer eller writer dokumenter. Så spørgsmålet er om det er nok at undgå at åbne database filer i OO, eller om injectionen også kan ske gennem de andre filer, hvis de embedder den database fil i sig.
Og nu skal du ikke sige at du aldrig ville åbne en fil fra nettet, vel.. ? :)
#19: På det punkt er nyheden meget vagt formuleret og jeg vil derfor ikke nødvendigvis være enig (eller uenig) med dig i din pointe. Jeg vil derimod på pege linien;
Hvilket konkluderer to ting;
1: Denne fil skal være lavet med formålet at afvikle Java-kode igennem OO.
2: Den skal være specielt designet - altså det er ikke enhver der vil kunne gøre det.
Ud fra disse to premisser er det nemt at konkludere at dokumentet så (i hvad end form) skal komme fra en ekstern, sandsynligvis ukendt kilde, med formål for øje at overtage din PC - det kunne blive gjort som en prank - men som en eksploit? Så skal det altså være noget værre - i stil med, f.eks. at der når der åbnes et dokument laves et check på en hjemmeside der så kunne afvikle kode - som så vil kunne forårsage skade på din PC eller lignende.. da ikke hvis du skal åbne et speciallavet dokument - og da slet ikke i disse dage, hvor selv et JPEG-billede kan indeholde virus.
kan udnyttes til at eksekvere vilkårlig statisk Java-kode via et specielt udformet database-dokument
Hvilket konkluderer to ting;
1: Denne fil skal være lavet med formålet at afvikle Java-kode igennem OO.
2: Den skal være specielt designet - altså det er ikke enhver der vil kunne gøre det.
Ud fra disse to premisser er det nemt at konkludere at dokumentet så (i hvad end form) skal komme fra en ekstern, sandsynligvis ukendt kilde, med formål for øje at overtage din PC - det kunne blive gjort som en prank - men som en eksploit? Så skal det altså være noget værre - i stil med, f.eks. at der når der åbnes et dokument laves et check på en hjemmeside der så kunne afvikle kode - som så vil kunne forårsage skade på din PC eller lignende.. da ikke hvis du skal åbne et speciallavet dokument - og da slet ikke i disse dage, hvor selv et JPEG-billede kan indeholde virus.
#20
Hvori er der forskel på dit punkt 1 og 2, om man skal kode en virus ind i et database objekt eller et jpeg billed ?
Man skal i begge tilfælde lave det med formål og have kendskab til virus og eksekverings miljøet (JPEG fortolker/OO).
Så der er ingen større forskel på hvordan man misbruger den her exploit, eller hvordan man laver et program der overtager fx IE eller Windows.
Og bare fordi det er statisk java kode, betyder det ikke at det ikke kan checke op på hvilket OS du kører med og så via en binarywritter dumpe en fil på din disk, og bede dit OS launche den. Jo, det kræver vist root access at tilføje til cron, men der er jo nok også nogle linux brugere der altid er logget ind som root, eller har aliaset "su" til at skrive deres password ind.
Hvori er der forskel på dit punkt 1 og 2, om man skal kode en virus ind i et database objekt eller et jpeg billed ?
Man skal i begge tilfælde lave det med formål og have kendskab til virus og eksekverings miljøet (JPEG fortolker/OO).
Så der er ingen større forskel på hvordan man misbruger den her exploit, eller hvordan man laver et program der overtager fx IE eller Windows.
Og bare fordi det er statisk java kode, betyder det ikke at det ikke kan checke op på hvilket OS du kører med og så via en binarywritter dumpe en fil på din disk, og bede dit OS launche den. Jo, det kræver vist root access at tilføje til cron, men der er jo nok også nogle linux brugere der altid er logget ind som root, eller har aliaset "su" til at skrive deres password ind.
Som en kineser engang sagde til mig: "Hvis du går i seng med en røv der klør, så vågner du med fingere der lugter"
#21:
Evne og motiv har jeg forsøgt at dele i to. Det er ikke lykkedes mig særlig godt, kan jeg se. :-)
Min eneste point er jo, at det stadig kræver at du åbner en fil (en ODF eller hvad pokker), fra Internettet - alle dagens browsere vil i dag advare dig om du vil åbne eller køre denne fil, hvor en JPEG-fil vil blive åbnet uden en sådan forespørgsel - derfor er en JPEG-fil noget mere farlig, hvor et dokument kunne gemmes og så kunne man beslutte sig for om man stoler på kilden eller ej.
Det mener jeg er et argument for at truslen, så at sige, altså heller ikke er større...
Evne og motiv har jeg forsøgt at dele i to. Det er ikke lykkedes mig særlig godt, kan jeg se. :-)
Min eneste point er jo, at det stadig kræver at du åbner en fil (en ODF eller hvad pokker), fra Internettet - alle dagens browsere vil i dag advare dig om du vil åbne eller køre denne fil, hvor en JPEG-fil vil blive åbnet uden en sådan forespørgsel - derfor er en JPEG-fil noget mere farlig, hvor et dokument kunne gemmes og så kunne man beslutte sig for om man stoler på kilden eller ej.
Det mener jeg er et argument for at truslen, så at sige, altså heller ikke er større...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund