Apache OpenOffice jsou 16 let náchylné na spuštění cizího kódu jedním kliknutím

4. 5. 2021

12 nových názorů

OpenOffice staré auto

V zastaralém OpenOffice se posledních 15 let vyskytuje chyba, která může vést k jednoduchému spuštění zákeřného kódu jediným kliknutím. Je důsledkem zastaralého kódu, který OpenOffice obsahuje pro nakládání s ne-HTTPS odkazy. Tento kancelářský balík přitom měsíčně stahuje stále zhruba 2,4 miliónů lidí a jistě lze předpokládat, že významná část z nich neaplikuje nejnovější opravu.

Chyba je opravena v novém vydání OpenOffice 4.1.10. Pokud uživatel na ni neaktualizuje, může být touto chybou ohrožen na Windows, stejně jako Linuxu i macOS. Oprava je přitom trapně jednoduchá: nově se uživateli při kliknutí na odkaz zobrazí upozornění. Chyba by se v OpenOffice měla nacházet od řady 2.0, tedy z dob Sun Microsystems a roku ~2005.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

4. 5. 2021 17:56

bez přezdívky

https://bz.apache.org/ooo/show_bug.cgi?id=49802

Pokud jsem to pochopol tak kvuli "workflow" se to pro ODT, SXW odkazovane z venku vyplo a tim padem se obchazi dalsi kontroly obsahu.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 5. 2021 18:52

redhawk

problem OO je to, ze nejsou lidi.inak Star office mi sedel viac ako OO.
este ze tu je LO.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 5. 2021 20:58

Ondra Satai Nekola

Zlatý podporovatel

Jak dlouho ještě Apache bude předstírat, že OO nějak udržuje naživu?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 5. 2021 21:16

Miroslav Šilhavý

Jak se vystrojuje pohřeb softwaru, aby to bylo pro veřejnost dostatečně obřadní? :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 5. 2021 21:57

Filip Jirsák

Stříbrný podporovatel

Třeba tak, že se místo tlačítka Download dá odkaz na LO a vysvětlující text.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 5. 2021 22:40

Rhinox

Jiz pred casem komunita kolem LO navrhla, aby na ne Apache nazev "OO" prevedl, ciz by se OO a LO "sjednotilo" (alespon co se kodu tyce).

Apache odmitl (respektive nijak nereagoval). To je v poradku, na to maji pravo. Jenze ze stany Apache Foundation je mirne receno nezodpovedne nabizet ke stazeni sotware ve kterem je tak dlouho seriozni bug...
4. 5. 2021, 22:41 editováno autorem komentáře
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 5. 2021 6:58

Ink

V tuto chvíli bych skoro řekl, že OO je značka, která by LO spíš poškodila.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 5. 2021 7:17

Ondra Satai Nekola

Zlatý podporovatel

Mezi lamami má oo pořád zvuk.
Zavřít krám a přesměrovat.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 5. 2021 14:40

Rhinox

Na google-trends je za posledni rok pomer vyhledavani OO:LO priblizne 1:2. Takze zhruba tretina lidi porad tahne (vedome, nebo nevedome?) k OO, kterej uz neni moc udrzovan. Presmerovani OO na LO by tedy davalo opravdu smysl...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 5. 2021 8:29

Michal Kubeček

Nemyslím, že by někdo chtěl přejmenovat LibreOffice na OpenOffice, to už by dnes asi bylo spíš kontraproduktivní. Ale určitě by bylo vhodnější, aby byl ten, kdo ze zvyku hledá OpenOffice, přesměrován na web LibreOffice, kde se dozví, že je to nástupce, než aby skončil na tom neudržovaném pomníku zašlé slávy.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 5. 2021 21:19

Jan Hrach

Nechápu z odkazovaného bugreportu jak se pomocí toho spustí kód, a ze zprávičky jestli je jenom v OO, když tam byla už před forkem - v LO byla opravena někdy nedávno? Nebo jak to je?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 5. 2021 3:41

Bez přezůvek

Pomocí ctrl-click lze otevřít libovolný odkaz uvedený v dokumentu tak, že se prostě předhodí systému ať si s tím poradí, jak umí (xdg-open na Linuxu, ShellExecute na Windows). Některé typy odkazů můžou vést ke spuštění kódu. V LO je ten problém taky.
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

David Ježek

Příznivec open-source rád píšící i o ne-IT tématech. Odpůrce softwarových patentů a omezování občanských svobod ve prospěch korporací.