Kritiske huller i OpenOffice og ODF-filer

Det er fuldstændigt stupidt at tale om sikkerhedshuller i ODF-filer. Fejlen er for pokker i applikationen og ikke i dokumentformatet.

[b]Fra openoffice.org/security: [/b] A security vulnerability with the way OpenOffice.org 2 processes ODF text documents with XForms, using the 3rd party library ICU, may allow a remote unprivileged user who provides a OpenOffice.org document that is opened by a local user to execute arbitrary commands on the system with the privileges of the user running OpenOffice.org.

http://www.openoffice.org/security/cves/CVE-2007-4770.html

Endvidere skal man lægge mærke til at hullet kun giver muligheder for at afvikle arbitrære (hvilke kommandoer det så er der kommer ud af den blå luft?) kommandoer med samme rettigheder som brugeren.

Så alt andet lige vil en fornuftig sikkerhedsmæssig opsætning af maskinen, dvs. bruger <> administrator, gøre at risikoen minimeres.

/Christian

Christian,

Så alt andet lige vil en fornuftig sikkerhedsmæssig opsætning af maskinen, dvs. bruger <> administrator, gøre at risikoen minimeres.

Risikoen for hvad?

Risikoen for hvad?

Ja det er lige det, for det fremgår egentlig ikke rigtig hvad det er for nogle arbitrære koder der kan afvikles, og derfor heller ikke hvad konsekvenserne er.

Men det jeg mente (og som du sikkert også er klar over, men du skulle måske lige drille lidt:-)) er at hvis en bruger af OO kun kører som non administrator, så er det trods alt begrænset hvor mange ulykker den arbitrære kode kan afstedkomme.

/Christian

Ja det er lige det, for det fremgår egentlig ikke rigtig hvad det er for nogle arbitrære koder der kan afvikles, og derfor heller ikke hvad konsekvenserne er.

Arbitrære kommandoer er hvilken som helst kommando på systemet som en angriber måtte ønske at udføre (og som brugeren har adgang til), så det er risikoen for en overtaget konto, med alt der hører til (spamrelay, brug af ressourcer, tyvery af personlig information, afluring af passwords o.s.v.)

Christian,

Men det jeg mente (...) er at hvis en bruger af OO kun kører som non administrator, så er det trods alt begrænset hvor mange ulykker den arbitrære kode kan afstedkomme.

Ja, det var også det jeg tænkte. Men din antagelse er, at "malicious code" udelukkende har som formål at ødelægge - men det er jo ikke altid tilfældet.

Det er korrekt, at ødelæggelserne ved en virus begrænses, hvis en bruger ikke er admin (begrænses til vedkommendes egne filer, forstås, hvilket jo kan være alvorligt nok). Men hvis virussen ikke er designet til at ødelægge men derimod fx indsamle oplysninger om netbank, emailadresser eller lignende, så er det min påstand, at Linux som sådan ikke er mere sikker end de applikationer der afvikles på det - samt den bruger, der sidder foran skærmen.

:o)

Men hvis virussen ikke er designet til at ødelægge men derimod fx indsamle oplysninger om netbank, emailadresser eller lignende, så er det min påstand, at Linux som sådan ikke er mere sikker end de applikationer der afvikles på det - samt den bruger, der sidder foran skærmen.

Helt enig, man er kun beskyttet imod inficering af selve systemet, der er intet til hinder for at malware kan hygge sig med brugerkontoen.

SELinux/AppArmor kan hjælpe lidt på problemet, men jeg ved ikke om profilerne dækker almindelige brugerprogrammer.

..så er det min påstand, at Linux som sådan ikke er mere sikker end de applikationer der afvikles på det..

Nu ehh, så har jeg faktisk ikke nævnt Linux, men udtalt mig om brugerrettigheder.

Iøvrigt er vi som så ikke uenige - og så er det da ellers bare at få opdateret til version 2.4 (som iøvrigt også har fået en del finpudsninger, bla. dansk ordbog out-of-the-box).

/Christian