Mehrere Sicherheitslücken in OpenOffice entdeckt

Software Die Entwickler der bekannten Linux-Distribution Debian haben mehrere Sicherheitslücken in der freien Office-Suite OpenOffice entdeckt. Demnach können sowohl manipulierte Word-Perfect- als auch StarCalc-Dokumente zum Einschleusen von Code genutzt ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
sry, aber geht das mit den links nicht auch bei m$ office??
 
@sk0ooo: Nein. Und außerdem heißt es "MS Office". "M$" diskreditiert dein Posing nur vollkommen unnötig, weiß net, ob das in deinem Sinne is :)...
 
"sätzlich können in die Dokumente eingebette Links verwendet werden, um Shell-Befehle auszuführen." wenn man mal davon absieht das OO eh als user gestartet wird ist das eigentlich keine wirkliche lücke. und textdateien aus fremden quellen öffnet man bekanntlich sowieso nicht, egal welches office man nutzt!
 
@darkstar85: Dann machste sudo und schon funzt der zerstörerische Befehl. Wer richtige Social-Engineering-Skills hat, der schafft es auch das der User das root-Passwort eingibt. Man sollte sich nicht zu sehr auf die integrierte Sicherheit eines Systems verlassen. Es gibt immer einen Dussel der den größten Blödsinn in die Tastatur hackt.
 
@DennisMoore: hm, laut win-fanboys nutzen doch nur absolute nerds/geeks linux weil es ja total schwer zu bedienen ist und man sich ja alles kompilieren muss...
also zieht doch dein argument mit sudo (das bei mir z.b. garnicht geht "dark@darkbox ~ $ sudo
bash: sudo: command not found") nicht :)
und nur so btw wer öffnet denn extra ne konsole > wird root > und öffnet dann open office?
genau! niemand!
 
@DennisMoore: Dann machste sudo und wirst erstmal nach dem root-Passwort gefragt, würd ich sagen.
 
@DennisMoore: "Wer richtige Social-Engineering-Skills hat, der schafft es auch das der User das root-Passwort eingibt." Wow, das ist harte Kritik am UAC! Abgesehen davon müssen noch einige weitere Voraussetzungen zutreffen, damit das von dir gezeichnete Szenario auch wirklich zum tragen kommt. Im Gegensatz zu der Masse der WIndowsuser wir dnämlich kein Linuxuser glauben es würden administrative Rechte benötigt um ein Office-Dokument zu öffnen. Desweiteren muss der User, der die Datei gern öffnen möchte entweder sudoer oder in wheel sein - beides Sachen, die oft nicht zutreffen ...
 
@ooohaaa: also wenn wir jetzt von desktop usern ausgehen dann werden die schon in /etc/sudoers oder in der gruppe wheel sein aber das is ja auch egal da wie du angesprochen hast linuxer idr nicht so dumm sind :) eine weitere vorraussetzung wäre wenn man eine manipulierte textdatei hat das der ersteller dann auch genau wissen muss was der user benützt denn es muss ja ein dialog geöffnet werden indem man das pw eingibt und nicht jeder linuxer nutzt nun gnome/kde :)
 
@darkstar85: Öhm, sorry, aber das ist naiv, dass das keine Lücke sein soll, nur weil der User keine Adminrechte hat (was an sich natürlich löblich ist). Frage dich bitte mal: Was ist denn das wertvolle? Das System oder die Daten? Lies: Vielleicht kann ein Virus dann keine systemweiten Tasks (wie Infizierung etc.) durchführen. Wohl aber könnte er alle anderen Dokumente (auf die der User halt nun mal Zugriff hat) löschen, manipulieren oder gar übers Internet rausschicken. Und dann ist der Schaden wirklich da. Von daher ist das eine absolut wirkliche Lücke. Zum anderen: Dein letzter Satz enthätl das Wort "man". Und genau dort ist eine Irrführung: "Das tut man ja eh nicht" ist ne viel zu einfach gemachte Aussage eines Users, der selbst Ahnung hat. Die Realität ist DE FAKTO, dass es genug User gibt, die es eben machen. Das ist die Wirklichkeit da draussen. Und das *kann* sich nur dann ändern, wenn du nicht "faul" sagst, "das macht man ja eh nicht", sondern indem DU deinen Teil dazu gibst und die Leute freundlich (nicht besserwisserisch) aufklärst.
 
@Lofote: Ich denke mal er hat das etwas unglücklich ausgedrückt, natürlich bleibt es eine Lcke, aber der WorstCase ist eben doch deutlich eingegrenzt. Das ändert natürlich rein garnichts daran, dass es sich hier eindeutig um eine Lücke handelt, die so schnell wie möglich geschlossen werden muss.
 
@Lofote: ok es gibt immer user die es evt. trotzdem machen, aber da wären wir dann bei den zielgruppen... linux spricht idr keine DAUs an da man auch heute noch etwas ahnung brauch um etwas zu installieren oder es einzustellen... damit will ich nun nicht sagen das alle win user dumm sind, es gibt auch genügend kluge win user, nur ist der großteil wohl eher der kategorie DAU zuzuschreiben.
btw für meine wichtigen daten brauch man rootrechte zum lesen/schreiben. und wie ooohaaa es sagte es war etwas unglücklich formuliert, es ist schon ne lücke aber mit sehr geringem schadenspotenzial
 
@Alle: Na, ihr sitzt ja auf einem sehr hohen Ross. Das kann gefährlich werden. Ich sag mal wenn in Zukunft immer mehr Leute Linux nutzen sollten, dann werden da auch Deppen bei sein, genau wie es sie auch schon immer bei Windows gab und geben wird. Und selbst wenn das sudo nicht funktioniert kann ein Skript immer noch die Userdaten löschen und damit genug Schaden anrichten. Dummies machen nämlich auch kein Backup.
 
Ich pfeif sowieso auf "Dokumente aus unbekannten Quellen", ob nun mit MS Ofice oder OpenOffice.
 
@DennisMoore: Oder einfach mit Sandboxie öffnen! :) http://www.sandboxie.com/
 
@Hannes Rannes: Jau, wie Geil ist das denn? Ich such schon lange nach einem Nachfolger von Secure4U. Das wird ja nicht mehr weitergepflegt und jetzt postets mir einer so nebenbei. Danke schön :D
 
@Hannes: Frage: Ich kann also ein Programm "sandboxed" starten, wenn ich mir unsicher bin, ob es ok ist. Aber sagt mir die Sandbox denn auch, ob ein Programm mir überhaupt geschadet HÄTTE ?? Das ist ja auch die Frage...
 
@DennisMoore: Bin seit einigen Wochen begeisterter User. Vor allem um Programme auszuprobieren äußerst praktisch. Um zu sehen, was das Programm so schreibt und verändert, kann man ja mal in den "sandboxed" Ordner schauen: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Sandbox\DefaultBox\Device
 
"Auch beim Anklicken von Links in einem Dokument arbeitet die Software nicht richtet," -< Das ist so nicht ganz richtet. :D
 
Ist ja alles nicht so schlimm , in 1 Woche ist das alles wieder vergessen und ausserdem die Leute meckern doch sowieso nur bei Microsoft Software.
 
@MS168: Kannst du dir vorstellen, dass das glatt an Microsfts Verhalten bei Sicherheitsproblemen liegen könte? Ich meine, da wird mal trotz aktueller, kritischer Lücken einer dieser, ohnehin halbseidenen, Patchdays einfach ausgelassen und ind Office klaffen auhc noch Löcher, um die sich überhaupt niemand so wirklich kümmern scheint - ist doch schon eine kritikträchtige Haltung, oder?
 
@ooohaaa: Sie wollen sich ja bei Vista und Office 2007 bessern. Lass ihnen doch mal ne Chance.
 
@DennisMoore: Japp, wie vor XP, 2k ... eigentlich vor jedem neuen NT auch schon. Chancen hatten sie genug, nun muss auch mal was passieren, ansonsten geben sie sich ein erneutes mal der Lächerlichkeit preis.
 
Bin neugierig ob jetzt die 2.2 noch verschoben wird und diese Lücken noch vor dem Release behoben werden... immerhin sind wir inzwischen doch schon bei RC4 angelangt. Das dürften keine kleine Änderungen sein, die auch ausführlich getestet werden müssen...
 
aaaaach, dabei ist open source doch sooooo sicher.
 
@fli7e: Du hast es echt nicht gecheckt. Glaubst du nur das andere Lizenzmodell ändert den gesamten Code? Wenn MS jetzt den Windows-Quellcode veröffentlichen würde, wären dann plötzlich alle Probleme beseitigt? Der Unterschied ist, dass jeder Probleme finden und z.B. darauf hinweisen kann - wie das z.B. auch hier der Fall ist. Jetzt können die Probleme behoben werden, die sonst vllt. nicht (von "vertrauenswürdigen" Personen) gefunden worden wären.
 
nix neues... früher hiess es "open source offene quellen, schnelle entfernung von lücken" schwachsinn das gilt seit jahren nichtmehr, bei MS & Co sitzen wenigstens bezahlte programmierer die alles testen etc. doch bei diesen fricklern von SUN und deren community kann nichts gescheites bei rauskommen oder wieso hinkt das OO schon seit bestehen allen anderen office hinterher? fanboys werden gleich wieder heulen
 
@derinderinderin: Ich frag mich gerade warum ich mich jetzt überhaupt auf dein Niveau begebe... aber egal. Wenn du glaubst, dass bei Sun & Co. alle ohne Entlohnung arbeiten, dann gratulier ich dir wirklich. :D Eine gute Community ist natürlich immer schlecht und OOo hinkt natürlich allen anderen Office-Suiten hinterher, ganz klar. :D
 
Neue libwpd eincompilern (Version 0.8.9). Webseite: http://libwpd.sourceforge.net/news.html Gruß, Fusselbär
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte