Noodzakelijke pleister voor OpenOffice.org
Het patchfeest van vandaag gaat maar door, want na QuickTime en VLC is er ook een belangrijke patch voor OpenOffice.org. Door een lek in de kantoorsoftware is het mogelijk om via verschillende soorten bestanden willekeurige code op het systeem van het slachtoffer uit te voeren met de rechten van de ingelogde gebruiker. Het OpenOffice.org team is nog niet op de hoogte van exploits die in omloop zijn. De kwetsbaarheid is aanwezig in alle versies tussen 2.0 en 2.4. Gebruikers wordt daarom aangeraden te updaten naar versie 2.4.1, hoewel die nog niet in het Nederlands beschikbaar is.
De software lijkt zelf ook nog niet te weten dat er een nieuwe versie is. Wie via "Check for Updates" controleert krijgt te zien dat er geen nieuwe versie beschikbaar is. Daarnaast is het nog steeds niet mogelijk om alleen een patch te downloaden, maar moet de volledige versie worden binnengehaald. Het aantal aanvallen op OpenOffice.org staat in geen verhouding met die op Microsoft Office. Toevallig verscheen vorige maand na lange tijd een exploit voor een in versie 2.4 gepatcht lek.
Open source ( zit in de naam)
ben je pas echt veilig bezig. Hiermee is weer bewezen dat het gewoon
geleuter is als er wordt beweerd dat het zo veilig is omdat het open source is.
Open betekent transparantie.
Gesloten betekent dat alleen de criminelen de achterdeurtjes
weten te vinden.
Dus in principe is "Open" veiliger en
goedkoper.
software is veilig. Criminelen weten ook de deurtjes in Open
Office te vinden. Gezein Microsoft producten ietsjes meer
gebruikt worden is het alleen wat interessanter om deze te
misbruiken gezien het resultaat dat je hiermee behaald.
OpenSource is dus veiliger omdat de criminelen en
goedwillenden een gelijke start hebben, omdat de code
helemaal open is.
hier aan? Wil dat dan zeggen dat ze minder te vrezen hebben,
omdat criminelen dan hun exploit aan de OSS-gemeenschap
geven of ook de sourcecode hiervan beschikbaar stellen? Geen
enkele software is veilig, closed, semi-closed of open
source. Dat OSS veiliger is is niet bewezen, omdat de
condities niet gelijkwaardig zijn (bijvoorbeeld gebruik en
impact).
Dat OSS veiliger is is niet bewezen, omdat de condities niet gelijkwaardig zijn
(bijvoorbeeld gebruik en impact).
naar de lekken in de webserver zelf, niet naar de (veel voorkomende) buggy
sites die op sit soort webservers wordt gehost.
is een afspraak tussen makers en gebruikers. Verder is open
source net zo veilig als elke ander software. Het verschil
in veiligheid is dat bij opensource goed willende Hackers
(hacker is iemand die veel verstand van computerer en
software heeft) mee kunnen zoeken naar mogelijke
veiligheidsproblemen en bij close source, MS producten,
alleen Crackers (kwaat willende Hackers) opzoek gaan naar
deze veiliheidsproblemen.
PS ik werk met MS office, OpenOffice, windhows en LInux net
zo als het uit komt. Hou er van om vrij te kiezen
of het dan open of closed source is maakt helemaal niets uit.
Het is wel interessant om te weten of (en hoe snel) het lek
gepatcht is voordat er dreigingen ontstaan.
Zolang er geen risico is, heb je geen zorgen, als je maar
beheert. En ook daarbij maakt het dus niet uit of er sprake
is van open of closed source.
verhouding met die op Microsoft Office.
of zo?
dat OSS minder veilig is dan propietary software? me dunkt
dat dit niet een gefundeerde argumenatie is. kijk maar naar
aantal gemelde exploits bij MS en OO en zie het verschil.
Aangezien broncode van MS office niet vrijelijk beschikbaar
is zal een echte vergelijking onmogelijk zijn, dus daar moet
je het maar mee doen.
Bezoekers van deze site weten inmiddels toch wel beter ?
Zolang er programma's bestaan zal iemand dat programma onderzoeken op
zwaktes en proberen daar vanwege nobele (of juist niet ) redenen daar
gebruik van maken.
En het maakt werkelijk niets uit op welk platform dat programma draait, en of
dat programma open source of propietery is..
Dus heren (m/v) Win/Linux/Mac/MS/Apple/Whatever-bashers ;
* neem de feiten zoals ze zijn, exploits+bugs blijven toch wel gevonden worden
zolang er software bestaat ; 100% veilige software is een illusie..
* als je echt iets wilt doen, meldt deze bug dan bij de programmamakers
ipv. 'zinlose' en kinderachtige discussies te voeren op internetfora zoals deze.
Greetz,
Marcel - Delft
Security consultant
Heel wat beter he, dat Open gedoe. Geen lekken en zo. Ja, met OpenOffice
ben je pas echt veilig bezig. Hiermee is weer bewezen dat het gewoon
geleuter is als er wordt beweerd dat het zo veilig is omdat het open source is.
zal zeggen dat er geen lekken in open source software zitten.
of het veiliger is kun je over discussiëren, maar als iemand beweerd dat het
sowieso volledig veilig is dan weet je al dat die geen verstand van zaken heeft.
Het volgende vind ik ook zo'n non argument:
digibeet hier aan?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
