Gepubliceerd: Vrijdag 12 februari 2010
De nieuwe OpenOffice-versie dicht security-gaten voor onder meer Word-documenten en Microsofts ontwikkelpakket Visual Studio. Daarnaast start 3.2 sneller op.
Toon volledig artikel
OpenOffice 3.2 dicht Microsoft-gaten
Nu zijn gaten in OpenOffice blijkbaar ook al de schuld van Microsoft.
Microsoft heeft zelf deze binaries op Windows vorig jaar al gepatched dus het betreft geen Windows binaries.
En als OOo een echt open source pakket is dan kan het toch geen oude binaries van Microsoft gaan meedistribueren? Dan is OOo toch geen open source pakket meer.
Het OS lijkt niet van belang:
may allow a remote unprivileged user to execute arbitrary code on the system with the privileges of a local user running OpenOffice.org,
Als je er van uit gaat dat je met beperkte rechten werkt kan het dus niet veel kwaad. Effectief zal het dus met name bij Windows-systemen effect hebben waarbij de gebruiker als admin inlogt.
Hoewel: als ik dit zo lees lijkt het dus mogelijk *iets* te doen op een systeem, het zou toch vervelend zijn als je ineens je data kwijt was.
Weinig extra info trouwens.
Het staat toch duidelijk in eht artikel dat er ALLEEn maar een security risk is als er een WORD document geopend wordt in Openoffice.org. Dus een derde party (MS) zorgd voor een lek in Openoffice.org, en dat is verholpen.
De kopen openoffice dicht gaten in office is imho dan ook niet helemaal correct.
het lijkt meer op de patches die firefox eerder uitbracht door conpflicten met IE en daardoor veiligheidslekken veroorzaakten, waar toen een lang kat en muis spel gespeeld werd.
Als i emand een besmette HTML pagina open in IE is het dan ook de schuld van World Wide Web Consortium?
Nee dan is het opeens een lek in IE, dus als OpenOffice last heeft van besmette word documenten is MS ook niet de schuld.
Dat ligt eraan. Als de specificaties van het .doc-formaat een lekke manier van doen voorschrijven, ligt de fout bij MS als maker van het formaat. Als de fout alleen optreedt in een implementatie door OOo, dan ligt de fout bij OOo als maker van de implementatie.
Als de specificaties ...een lekke manier van doen voorschrijven
Dit is echt niet meer serieus te nemen hoor.
Sla je nu echt alleen maar wat onzin uit om maar iets negatiefs over MS te zeggen?
Ik heb geen idee waar jouw reactie op slaat.
Nixpro gaf alleen een veronderstelling. Je interpreteerd het meteen als een negatiefe comment over Microsoft. Het is een zoals ik zei een kwestie van interpretatie, maar ik denk dat de jouwe in dit geval niet juist is.
Doe even rustig. Ik ken de specificatie van het doc-formaat niet, maar het zou niet de eerste keer zijn dat ik een specificatie van een datamodel tegenkom waar hele rare dingen in staan. Als je daar vervolgens aan wilt voldoen, moet je *dus* ook die rare dingen klakkeloos implementeren.
Ik vind het gewoon onzin.
Je probeert wanhopig nog een mogelijkheid om toch nog schuld voor Microsoft te suggeren op basis van een volstrekt ongehoorde en volstrekt niet bestaande 'lekke manier van doen' in een formaat specificatie.
Echt belachelijk.
Ik suggereer helemaal niks, dat lees je er allemaal zelf in. Als het niet waar is wat ik hierboven schrijf, wijs me daar dan even op en leg even uit waar ik de mist in ga. Voorlopig heb je dat nog niet gedaan, maar krijg ik wel weer een term als 'belachelijk' naar m'n hoofd. Dat deert me allemaal niet zoveel, maar het zou zoveel beter zijn wanneer het hier eens over de inhoud ging.
Echt belachelijk.
Dat heb ik ook wel eens gevonden. Zelfs bij herhaling aangegeven dat de situatie problemen zou geven. Maar als je vervolgens opdracht krijgt om het toch zo te bouwen, dan beslist toch de betaler. En dat je achteraf toch te horen krijgt dat je eigenlijk wel gelijk had is dan alleen een schrale troost.
Nogal een slechte gewoonte trouwens dat schelden. Ik merk dat de sfeer weer hard achteruit gaat. De sfeer is hier vaak al niet best, maar nu is het ronduit grimmig.
maar nu is het ronduit grimmig.
en ik denk zo dat je zelf de grote aansteker bent met je wilde beschuldigingen en vooral ordinair gescheld.
Dus doe er eens iets aan!
Hoezo is het per definitie onzin? Als de spec van een formaat zegt:
"The contents of tags <exe>...</exe> should always be executed"
...dan moet die code dus uitgevoerd worden, veilig of niet. Triviaal voorbeeld, maar het is geenszins onmogelijk. De Javascript-spec (ECMAScript, ok) zegt niks over dat het onmogelijk moet zijn cross-domain scripts aan te roepen, toch vinden we dat inmiddels niet zo'n goed plan meer.
Beste bliep, ik zal proberen het verhaal nader te verklaren op een manier die geen van beide betrokken partijen (OOo én Microsoft) bij voorbaat vrijwaard van schuld:
Specificatie:
Een 'specificatie' van een bestands formaat is een raamwerk voor ontwikkelaars om ze de mogelijkheid te geven dat betreffende formaat te kunnen implementeren.
Hierbij is het de verantwoordelijkheid van de maker van de specificatie om deze specificatie veilig te maken.
Implementatie:
Voor ontwikkelaars is de veiligste methode om te zorgen dat hun software kan omgaan met *alle* bestanden van dit formaat - ook als deze door andere software zijn aangemaakt - om de specificatie zo letterlijk mogelijk te implementeren.
Hierbij is het de verantwoordelijkheid van de maker van de implementatie om deze implementatie veilig te maken.
In a perfect world:
Het in theorie mogelijk is dat een ontwikkelaar zelfstandig de gehele specificatie onderzoekt op mogelijke ontwerpfouten. Het is in theorie ook mogelijk dat de ontwikkelaar hierbij *alle* ontwerpfouten in de specificatie onderschept.
In de real world:
In de praktijk is dat echter helaas niet zo gemakkelijk als we allemaal het liefst zouden willen.
Met optimisme over de kunde van de ontwikkelaar:
Laten we aannemen dat de ontwikkelaar alle ontwerpfouten heeft gevonden. Dan betekent dit dat iedere andere implementatie van de betreffende specificatie mogelijkerwijs één of meerdere van deze lekken implementeert. Op het moment dat dat gebeurt, kan je een keuzes maken:
1: Documenten die het lekke onderdeel van de specificatie gebruiken volledig weigeren.
2: De lekke specificatie klakkeloos overnemen met alle risico's van dien.
3: Een tussen-oplossing zoeken die het lek zo goed mogelijk vermijd bij het exporteren naar het gespecificeerde formaat. En toch bestanden accepteert waar de ontwerpfouten wél in zijn gebruikt én bij het importeren van deze potentieel gevaarlijke lekken preventieve maatregelen doorvoeren om alsnog te beschermen tegen het lek.
Kwaliteits analyse van de keuzes:
Optie 1: is niet gebruiksvriendelijk, en als deze massaal zou worden geimplementeerd in de gehele ontwikkelsector zou je al vrij snel tegen absurde vendor lock-ins aan lopen vanwege niet uitwisselbare bestanden.
Optie 2: is wat meestal gebeurt, omdat het helaas gewoon zelfs met de beste bedoelingen niet altijd mogelijk is om alle fouten te onderscheppen.
Optie 3: combineert het beste van twee werelden. Dit is wat hier met de besproken update gebeurt.
Conclusie:
Dat betekent het volgende...
Before situatie:
- Ja, de oude versie van de software was gevoelig voor een beveiligingslek. (naive implementatie door OOo, fout van OOo)
- Ja, de oude versie implementeerde de specificatie zoals deze omschreven was. (Volledige ondersteuning van de specificatie, goed van OOo)
- Ja, de specificatie, gemaakt door iemand anders, was lek. (specificatiefout van iemand anders, niet de fout van OOo)
After situatie:
- Ja, de update repareert de naive implementatie. (fout van OOo verholpen)
- Nee, de update repareert niet de specificatiefout. (fout van specificerende partij is niet verholpen)
Dit soort bugs ligt (nagenoeg) altijd aan de implementatie in de betreffende software. Zo ook hier zoals duidelijk te zien is in deze patch. Gewoon een gevalletje van niet controleren op boudaries.
Met de tekst:
OpenOffice 3 blijkt meer gaten aan Microsoft te danken te hebben.
vind ik dat Jasper onterecht suggereert dat Microsoft schuldig is aan deze fouten in Open Office.
Met de tekst:
OpenOffice 3 blijkt meer gaten aan Microsoft te danken te hebben.
vind ik dat Jasper onterecht suggereert dat Microsoft schuldig is aan deze fouten in Open Office.
Nou ja, de schuld voor het 'word-documenten' gat ligt waarschijnlijk bij OpenOffice zelf. Maar het msvc/atl lek heeft OpenOffice natuurlijk wel aan Microsoft te danken.
Gegevens van de nieuwe functies etc. zijn ook op een Nederlandstalige pagina beschikbaar:
nl.openoffice.o...euw-in-3.2.html
De nieuwe OpenOffice-versie dicht security-gaten voor onder meer Word-documenten en Microsofts (...)
Waarvan akte.
Hier ben ik ook blij mee, en het is goed te merken:
Daarnaast start 3.2 sneller op.
Daarnaast start 3.2 sneller op
Gisteren geinstalleerd (op Windows XP) en het verschil is opmerkelijk.
Inderdaad een stuk sneller.
Ik vond dit overigens nooit zo belangrijk. Het starten van een Office-pakket doe je tenslotte niet zo vaak. Bovendien is het starten van OpenOffice.org zo ongeveer te vergelijken met het starten van Word, Excel en Powerpoint in één keer.
Belangrijker vind ik wel de verbeterde ondersteuning van bestandsformaten.
Dat Openoffice nu sneller start was hard nodig. Je begon soms na het opstarten te twijfelen of er nog iets zou komen: zo lang duurde het. Voor de rest wordt het pakket echt mooi volwassen.
Het artikel hier bij Webwereld besteedt jammer genoeg geen aandacht aan de nieuwe features en aan de verbeteringen die zijn aangepast. Misschien een idee voor een echt zinvol artikel hier bij Webwereld?
Ik gebruik Openoffice (thuis) al jaren en ik ben er zeer tevreden over. Ik raad iedereen aan die nu nog MS Office 2003 gebruikt en een upgrade overweegt, toch eens serieus naar Openoffice te kijken.
Inleiding tot mijn vraag: ik heb een tijdje gewerkt met OOo (ik weet niet meer welke versie, het was in oktober vorig jaar) en het was een drama. Mijn dochter was bezig met een werkstuk gemaakt met Word 2007, dat ze opsloeg als doc. Ik had toen nog Office 2007 op de computer staan.
Ik dacht na het lezen van veel positieve recenties over OOo, weet je wat, ik verwijder Office 2007 en installeer OOo. Dus mijn dochter opent haar doc. werkstuk in OOo en de hele opmaak viel in barrels. Alinea's weg, foto's op komen op een andere pagina terecht, in een verkeerd hoofstuk, etc. Papa was uit de gratie, hij was erger dan MS en Linux samen, zeg maar.
Daarnaast was het erg traag, vooral bij het opslaan. Maar goed, daar valt mee te leven.
Goed stom van mij om dan maar gelijk office 2007 weg te knikkeren, ik weet het, mea maxima culpa. Ik had wel van te voren zoals gewoonlijk een image gemaakt.
Maar nu mijn vraag: Is deze ellende nu de wereld uit met de nieuwe versie? Zoude het mogelijk zijn nu iets in doc. of zelfs docx. op te slaan en te openen en op te slaan in odt en voila het werkt? (Bij God en in Nederland is alles mogelijk, zoals Gerard Reve al schreef).
En ze mailt het naar de leraar die het natuurlijk in Word opent, en deksels, het staat er precies zoals het er staat. (je mag toch dromen?).
Ik ben daar echt benieuwd naar, want hoe minder MS, hoe beter, zoals mijn grootvader Steven al zei in de jaren dertig, die toch heel veel van biljartballen hield. Mint u gerust, (kun je jezelf ook minnen?), maar elk antwoord wordt met een oprecht 'bedankt!' beantwoordt.
.doc is een microsoft-formaat, dus per definitie werkt dat altijd het beste met MSO. Overigens heb ik nog nooit meegemaakt dat iets helemaal aan barrels lag, hoogstens wat nuanceverschillen. Als je zeker wilt weten dat iemand iets ziet zoals jij het hebt gemaakt moet je PDF sturen, zo simpel is het. Verder zijn er vast lijstjes met minder goed compatibele functies van de div. documenten te vinden, ik heb er zelf zelden last van gehad maar ik gebruik een tekstverwerker ook niet als DTP pakket ;)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
