Nieuws
image

Hackers kraken OpenOffice via Word documenten

dinsdag 1 september 2009, 14:21 door Redactie, 15 reacties

OpenOffice.org heeft twee ernstige beveiligingslekken gedicht waardoor aanvallers het systeem konden overnemen. Hét alternatief voor Microsoft's Office verslikte zich ironisch genoeg in Word documenten. Via een geprepareerd Word document kon een aanvaller een heap-based buffer overflow veroorzaken, om vervolgens willekeurige code uit te voeren. De kwetsbaarheden zijn aanwezig in versie 3.1.0, maar ook eerdere versies lopen mogelijk risico. Updaten naar 3.1.1 kan via de Update functie of OpenOffice.org. Naast de beveiligingsupdates zijn ook nog tal van anderen bugfixes doorgevoerd.

Reacties (15)
01-09-2009, 14:54 door Anoniem
Het lijkt me relevant om te vermelden voor welke platformen (Mac, MS Windows, Linux etc.) dit van toepassing is. OpenOffice is immers voor nogal wat platformen beschikbaar.
01-09-2009, 15:17 door Anoniem
Na een update onder Ubuntu 9.04 geen update van Open Office van 3.0.1 naar 3.1.1.
01-09-2009, 15:20 door Spiff has left the building
Let op:
De Nederlandse 3.1.1 versie van OpenOffice.org wordt op dit moment nog niet aangeboden!
Kies dus voor bijvoorbeeld de Engelse versie.
Zie:
http://download.openoffice.org/other.html

En heb je netjes de nieuwste Sun Java JRE op je systeem staan,
let dan beslist op de optie "Include the Java JRE with this download" uit te vinken.
Ik heb begrepen dat daarmee wel eens een oude lekke Java-versie werd aangeboden!
(Ik weet niet of dat inmiddels is verbeterd.)
01-09-2009, 15:26 door Anoniem
idd, ik heb de nederlandse versie. Dus voorlopig geen onbekende .doc documenten in mijn Open Office 3.0.1. inlezen.
01-09-2009, 18:52 door Ilja. _V V
Door Spiff: Let op:
En heb je netjes de nieuwste Sun Java JRE op je systeem staan,
let dan beslist op de optie "Include the Java JRE with this download" uit te vinken.
Ik heb begrepen dat daarmee wel eens een oude lekke Java-versie werd aangeboden!
(Ik weet niet of dat inmiddels is verbeterd.)
Nee, gek genoeg loopt OpenOffice altijd 1 à 2 versies achter, uitermate irritant.
01-09-2009, 19:16 door Anoniem
Dat is niet gek, dat heet releasemanagement en heeft jouw soort waarschijnlijk voor veel onheil behoed.
01-09-2009, 22:23 door eMilt
Door Anoniem: Het lijkt me relevant om te vermelden voor welke platformen (Mac, MS Windows, Linux etc.) dit van toepassing is. OpenOffice is immers voor nogal wat platformen beschikbaar.
Een bug hoeft niet op ieder platform dezelfde impact te hebben of op ieder platform exploitable te zijn. Verschillen in compiler en platform kunnen voor verschillende resultaten zorgen.
02-09-2009, 08:55 door Anoniem
Het is toch te zot voor woorden he: wordt er een lek in OpenOffice bekend gemaakt, wordt er tegelijk maar even reclame gemaakt voor OpenOffice als HET alternatief voor Microsoft Office. Hoe hypocriet kun je nog zijn? Daaag, security.nl.
02-09-2009, 11:14 door Anoniem
Door Anoniem: Het is toch te zot voor woorden he: wordt er een lek in OpenOffice bekend gemaakt, wordt er tegelijk maar even reclame gemaakt voor OpenOffice als HET alternatief voor Microsoft Office. Hoe hypocriet kun je nog zijn? Daaag, security.nl.

Het is geen reclame maar het streepje op de "e" van "het" onderstreept de ironie.

-Goestin-
02-09-2009, 11:21 door spatieman
blaim MS word dan maar?
02-09-2009, 12:08 door Spiff has left the building
01-09-2009, 19.16 uur, door Anoniem: Dat is niet gek, dat heet releasemanagement en heeft jouw soort waarschijnlijk voor veel onheil behoed.
Waar héb je het precies over?

Dat de Nederlandse 3.1.1 versie nog niet beschikbaar was?
Of dat OpenOffice.org oude lekke Sun Java JRE versies aanbiedt?

En wat bedoel je in vredesnaam met "jouw soort"?
02-09-2009, 12:13 door Spiff has left the building
(vervallen)
02-09-2009, 15:43 door Anoniem
"Het is toch te zot voor woorden he: wordt er een lek in OpenOffice bekend gemaakt, wordt er tegelijk maar even reclame gemaakt voor OpenOffice als HET alternatief voor Microsoft Office. Hoe hypocriet kun je nog zijn? Daaag, security.nl."

Een volledig correcte omschrijving, het is namelijk het enige redelijke alternatief naast Microsoft Office voor office documenten. En in de context van het bericht is die opmerking niet bepaald een reclame uiting te noemen.
16-09-2009, 20:57 door Spiff has left the building
Hmm...
Opvallend hoe lang het duurt voordat de Nederlandse 3.1.1 versie beschikbaar komt.
We zijn inmiddels al mooi twee weken verder.

Ik neig er sterk toe om nu maar bij de Engelstalige versie te blijven, om te voorkomen dat na het kiezen van de NL-versie er op een volgende beveiligingsupdate óók weer zo akelig lang gewacht moet worden.
Jammer van de nu niet functionerende spellingschecker, maar dan let ik maar wat extra goed op. (Dat ik geen "vrgrms" schrijf, wanneer ik "grmsvr" bedoel.)
17-09-2009, 23:58 door Spiff has left the building
Gisteren klaagde ik nog dat het zo lang duurde voordat de Nederlandse versie 3.1.1 beschikbaar kwam,
en inmiddels is die nu beschikbaar.
Ik moet wat vaker zeuren, misschien ;-)

En dat ongemak van een niet functionerende spellingschecker, waar ik gisteren over zemelde, daarvoor bestaat gewoon een oplossing.

Zie:
OpenOffice.org 3.1.1 nu ook in NL-versie
http://www.security.nl/artikel/30940/1/OpenOffice.org_3.1.1_nu_ook_in_NL-versie.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure