Kritiske huller i OpenOffice og ODF-filer

Den nye OpenOffice 2.4 lukker flere kritiske sikkerhedshuller, hvoraf nogle har været kendt i mindst et halvt år. Det er for længe, mener sikkerhedsekspert.

Den nye OpenOffice 2.4 byder ikke bare på ny funktionalitet, men lukker også flere kritiske sikkerhedshuller i den frie kontorpakke. Sårbarhederne gør det blandt andet potentielt muligt at eksekvere kode med samme rettigheder som brugeren gennem særligt indrettede ODF-filer.

Sårbarheden, som flere danske myndigheder formodes at være berørte af, har ifølge sikkerhedsvirksomhed været kendt i mindst et halvt år.

Netop sårbarheden i forhold til ODF-filerne får sikkerhedsvirksomheden CSIS til at råbe vagt i gevær, fordi flere offentlige myndigheder har været forpligtiget til at kunne modtage og læse formatet siden 1. januar 2008, og det kan være interessant for it-kriminelle.

»Vi har valgt at udsende denne her som kritisk (sikkerhedsadvarslen, red.), fordi vi ved, at mange offentlige virksomheder - også dem som prioriterer sikkerhed meget højt - anvender OpenOffice som backend-håndtering.«

CSIS anbefaler, at brugere af tidligere versioner af OpenOffice får installeret opdateringen, som lukker hullerne. Det kritiske hul i forhold til kontorpakkens ODF-håndtering skyldes ifølge CSIS en fejl i OpenOffice, der udløses, når dokumentet indeholder XForms med tredjepartsbiblioteket ICU, som er udviklet af IBM.

Halvt år gammel sårbarhed

Ifølge Peter Kruse, har IBM-sårbarheden, der er et heapbaseret overflow, været kendt i mindst et halvt år, og sådan en sårbarhed burde være identificeret noget tidligere, mener han.

»Det har taget noget tid, kan vi se på den historik, der er. Derfor har denne her sårbarhed i virkeligheden været tilstede i hvert fald i et halvt år,« siger Peter Kruse, som dog også understreger, at CSIS ikke er bekendt med, at sårbarheden endnu skulle være udnyttet i praksis.

Generelt mener Peter Kruse dog ikke, at det går specielt langsomt med at frigive opdateringer til den frie kontorpakke.

»Jeg kan konstatere, at de har været hurtige ude med patches, når der har været sikkerhedsproblemer. Og det synes jeg, taler lidt for OpenOffice. Men omvendt, så synes jeg ikke, der er noget, der entydigt fortæller mig, at det er mere sikkert at arbejde med åben kode end med lukket kode,« siger han, og fortæller, at han helst ikke vil ind i en 'religionskrig' om, hvorvidt open source er sikrere end lukket source.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jesper Lund Stocholm Blogger

Det er fuldstændigt stupidt at tale om sikkerhedshuller i ODF-filer. Fejlen er for pokker i applikationen og ikke i dokumentformatet.

[b]Fra openoffice.org/security: [/b] A security vulnerability with the way OpenOffice.org 2 processes ODF text documents with XForms, using the 3rd party library ICU, may allow a remote unprivileged user who provides a OpenOffice.org document that is opened by a local user to execute arbitrary commands on the system with the privileges of the user running OpenOffice.org.

http://www.openoffice.org/security/cves/CVE-2007-4770.html

  • 0
  • 0
#2 Christian Nobel

Endvidere skal man lægge mærke til at hullet kun giver muligheder for at afvikle arbitrære (hvilke kommandoer det så er der kommer ud af den blå luft?) kommandoer med samme rettigheder som brugeren.

Så alt andet lige vil en fornuftig sikkerhedsmæssig opsætning af maskinen, dvs. bruger <> administrator, gøre at risikoen minimeres.

/Christian

  • 0
  • 0
#4 Christian Nobel

Risikoen for hvad?

Ja det er lige det, for det fremgår egentlig ikke rigtig hvad det er for nogle arbitrære koder der kan afvikles, og derfor heller ikke hvad konsekvenserne er.

Men det jeg mente (og som du sikkert også er klar over, men du skulle måske lige drille lidt:-)) er at hvis en bruger af OO kun kører som non administrator, så er det trods alt begrænset hvor mange ulykker den arbitrære kode kan afstedkomme.

/Christian

  • 0
  • 0
#5 Dennis Krøger

Ja det er lige det, for det fremgår egentlig ikke rigtig hvad det er for nogle arbitrære koder der kan afvikles, og derfor heller ikke hvad konsekvenserne er.

Arbitrære kommandoer er hvilken som helst kommando på systemet som en angriber måtte ønske at udføre (og som brugeren har adgang til), så det er risikoen for en overtaget konto, med alt der hører til (spamrelay, brug af ressourcer, tyvery af personlig information, afluring af passwords o.s.v.)

  • 0
  • 0
#6 Jesper Lund Stocholm Blogger

Christian,

Men det jeg mente (...) er at hvis en bruger af OO kun kører som non administrator, så er det trods alt begrænset hvor mange ulykker den arbitrære kode kan afstedkomme.

Ja, det var også det jeg tænkte. Men din antagelse er, at "malicious code" udelukkende har som formål at ødelægge - men det er jo ikke altid tilfældet.

Det er korrekt, at ødelæggelserne ved en virus begrænses, hvis en bruger ikke er admin (begrænses til vedkommendes egne filer, forstås, hvilket jo kan være alvorligt nok). Men hvis virussen ikke er designet til at ødelægge men derimod fx indsamle oplysninger om netbank, emailadresser eller lignende, så er det min påstand, at Linux som sådan ikke er mere sikker end de applikationer der afvikles på det - samt den bruger, der sidder foran skærmen.

:o)

  • 0
  • 0
#7 Dennis Krøger

Men hvis virussen ikke er designet til at ødelægge men derimod fx indsamle oplysninger om netbank, emailadresser eller lignende, så er det min påstand, at Linux som sådan ikke er mere sikker end de applikationer der afvikles på det - samt den bruger, der sidder foran skærmen.

Helt enig, man er kun beskyttet imod inficering af selve systemet, der er intet til hinder for at malware kan hygge sig med brugerkontoen.

SELinux/AppArmor kan hjælpe lidt på problemet, men jeg ved ikke om profilerne dækker almindelige brugerprogrammer.

  • 0
  • 0
#8 Christian Nobel

..så er det min påstand, at Linux som sådan ikke er mere sikker end de applikationer der afvikles på det..

Nu ehh, så har jeg faktisk ikke nævnt Linux, men udtalt mig om brugerrettigheder.

Iøvrigt er vi som så ikke uenige - og så er det da ellers bare at få opdateret til version 2.4 (som iøvrigt også har fået en del finpudsninger, bla. dansk ordbog out-of-the-box).

/Christian

  • 0
  • 0
Log ind eller Opret konto for at kommentere