מסמכים זדוניים יכולים לחטוף את הפתיחה של אפאצ’י

סיכום:

1. משרד פתוח.תוכנת ORG עשויה להיות בסיכון גדול יותר מוירוסי מחשב מאשר MS Office.

2. חוקרים במשרד ההגנה הצרפתי מצאו כמה פגיעויות בפתיחות.אורג.

3. נוצרו וירוסים של הוכחת מושג כדי להמחיש כיצד מקרואים ותבניות יכולים להתפשר על מערכות.

4. משרד פתוח.אורג אינו מבצע בדיקות אבטחה נאותות בתוכנה שהיא פועלת.

5. הגמישות של חבילת Office Free מאפשרת מספר דרכים ליצור מאקרו זדוני.

6. חיל האותות של משרד ההגנה הצרפתי ערך את המחקר ויפרסם דו”ח בכתב עת אקדמי.

7. הפתיחה.צוות ORG תוקן באג תוכנה אחד שדווח על ידי החוקרים.

8. משרד פתוח.ORG טופחה פגיעויות אחרות ומשתמשים מומלץ לשדרג לגירסה האחרונה.

9. פגיעויות האבטחה בפתיחות.אורג נתפס כדאגה לפרויקט הקוד הפתוח.

10. יישומי המשרד של מיקרוסופט מכוונו גם על ידי התוקפים באמצעות מסמכים מקודדים בזדון.

שאלות:

1. הוא OpenOffice.אורג פגיע יותר לנגיפי מחשב מאשר MS Office?

כן, לדברי חוקרים במשרד ההגנה הצרפתי, OpenOffice.אורג נחשב לפחות פגיע כמו MS Office, אם לא יותר מכך.

2. כיצד יצרו החוקרים וירוסים של הוכחת קונספט?

החוקרים יצרו תבניות מקודדות בזדון ותבניות כדי להדגים כיצד מערכות מפעילות פתיחה.ניתן להתפשר על אורג.

3. מהו אחד הפגמים העיקריים של הפתיחה של OpenOffice.אורג?

משרד פתוח.אורג אינו מבצע בדיקות אבטחה נאותות בתוכנה שהיא פועלת, מה שמותיר אותה פתוחה להתקפות תוכנות זדוניות פוטנציאליות.

4. איך הגמישות הקיצונית של OpenOffice.אורג תורם לפגיעויות האבטחה שלה?

הגמישות של חבילת Office Free מאפשרת דרכים שונות ליצור פקודות מאקרו זדוניות, מה שעלול לגרום לפגיעה במערכות המפעילות את התוכנה.

5. באילו צעדים יש את הפתיחה.צוות ORG נלקח כדי לטפל בפגיעויות המדווחות?

הצוות תיקן באג תוכנה אחד שדווח על ידי החוקרים הצרפתים ונמצא איתם דיונים כדי לשפר את האבטחה הכוללת של התוכנה. הם גם פרסמו טלאים לפגיעויות אחרות ומייעצים למשתמשים לשדרג לגירסה האחרונה.

6. איך פגיעויות האבטחה ב- OpenOffice.אורג נראה בהשוואה ליישומי המשרד של מיקרוסופט?

הפגיעויות בפתיחות.אורג נתפס כדאגה לפרויקט הקוד הפתוח, ומוצע כי האבטחה של מסמכי OpenOffice לא קיבלה אותה רמת תשומת לב כמו מסמכי המשרד של מיקרוסופט.

7. האם התוקפים מכוונים ליישומי המשרד של מיקרוסופט עם מסמכים מקודדים בזדון?

כן, התוקפים ניצלו באגים ביישומי המשרד של מיקרוסופט ושלחו מסמכי מקודדים בזדון, Excel ו- PowerPoint באמצעות דואר אלקטרוני לקורבנות ממוקדים.

8. איזה סוג של פגיעות התגלה ב- Apache OpenOffice?

פגיעות בביצוע קוד מרחוק (RCE) התגלתה ב- Apache OpenOffice, שניתן לנצל באמצעות קובץ זדוני כדי לבצע תוכנה זדונית במחשב.

9. האם הפגיעות ב- Apache OpenOffice כבר טלאה?

קוד המקור של Apache OpenOffice טופח, אך התיקון זמין כרגע רק כתוכנת בטא. המהדורה הרשמית עם התיקון צפויה להתגלגל בקרוב.

10. כיצד גילה החוקר יוג’ין לים את הפגיעות בפתיחה?

Eugene Lim התמקד בפורמטים של קבצים ומצא את באג ביצוע הקוד המרוחק בפורמט קובץ מסד הנתונים של DBase (DBF), המשמש עדיין על ידי אפליקציות מודרניות כמו Microsoft Office, LibreOffice ו- Apache OpenOffice.

11. מדוע הפגיעות לא התגלתה קודם לכן?

LIM שאלות מדוע הפגיעות ב- OpenOffice לא התגלתה קודם לכן בהתחשב בכך שמדובר בתוכנית קוד פתוח שהייתה עוברת סריקות אוטומטיות על ידי מנתחי קוד סטטי. לא ברור מדוע הבאג לא התגלה.

12. אילו צעדים ננקטים כדי לטפל בפגיעות ב- Apache OpenOffice?

הוועדה לניהול פרויקטים של AOO עובדת על שחרור גרסה חדשה, Apache OpenOffice 4.1.11, הכולל את התיקון הדרוש לפגיעות.

13. מה הדאגה לגבי השימוש הנרחב ב- Apache OpenOffice?

עם מאות מיליוני הורדות, השימוש הנרחב ב- Apache OpenOffice משאיר מספר גדול של משתמשים הפגיעים לפגיעות בביצוע הקוד המרוחק.

14. איזו תוכנה אחרת מלבד Apache OpenOffice חשופה לפגיעות בביצוע הקוד המרוחק?

הפגיעות בביצוע קוד מרחוק בפורמט קובץ מסד הנתונים של DBase (DBF) משפיעה על תוכנה אחרת, כולל Microsoft Office ו- LibreOffice.

15. האם יוג’ין לים חוקר פגיעות מנוסה?

לא, יוג’ין לים חדש במחקר פגיעות וגילתה את הפגיעות של ביצוע הקוד המרחוק ב- Apache OpenOffice.

מסמכים זדוניים יכולים לחטוף את הפתיחה של אפאצ’י

“זה התחנן בפני השאלה: מדוע איש לא גילה את הבאג הזה קודם לכן? כתוכנית קוד פתוח, OpenOffice ללא ספק היה נסרק אוטומטית על ידי מנתחי קוד סטטי שונים, מה שהיה מרים בקלות את ה- memcpy הלא בטוח,” כותב לים.

הוא פתוח סיכון אבטחה גדול יותר מאשר MS Office?

אם כי Microsoft Corp.סוויטת המשרדים ממוקדת כעת על ידי האקרים, חוקרים במשרד ההגנה הצרפתי אומרים כי משתמשים ב- OpenOffice.תוכנת ORG עשויה להיות בסיכון גדול עוד יותר מוירוסי מחשב.

“האבטחה הכללית של OpenOffice אינה מספיקה”, כתבו החוקרים במאמר שכותרתו “ניתוח מעמיק של האיומים הוויראליים עם OpenOffice.מסמכי org.”

“הסוויטה הזו עומדת כעת עדיין פגיעה בהתקפות רבות של תוכנות זדוניות”, הם כתבו.

העיתון מתאר ארבעה וירוסים של הוכחת קונספט הממחישים כיצד ניתן ליצור פקודות ותבניות מקודדות בזדון כדי להתפשר על מערכות המפעילות את תוכנת הקוד הפתוח. “הסכנה הנגיפית המחוברת לפתיחה.ORG גבוה לפחות כמו זה עבור סוויטת Office Microsoft, ואף גבוהה יותר כאשר שוקלים כמה . היבטים, “הם כתבו.

הדו”ח נכתב על ידי חוקרים בחיל האותות של משרד ההגנה הצרפתי והוא אמור להתפרסם ב כתב העת בוירולוגיה ממוחשבת, כתב עת אקדמי מבוסס פריז למדעני מחשבים.

מספר הבעיות המתוארות בדוח קשורות לתכנון הבסיסי של התוכנה. לדוגמה, OpenOffice.החוקרים אמרו כי אורג לא מבצעת בדיקות אבטחה נאותות בתוכנה שהיא פועלת, כך אמרו החוקרים. ובגלל הגמישות הקיצונית של סוויטת המשרדים החופשיים, ישנן דרכים רבות לסופרים ליצור פקודות זדוניות, החוקרים מצאו.

הפתיחה.צוות ORG כבר תיקן באג תוכנה שהתגלה על ידי החוקרים הצרפתים, ושתי הקבוצות מדונים כיצד לשפר את האבטחה הכוללת של התוכנה, אמר לואי סוארס-פוטס, OpenOffice.מנהל קהילת אורג.

“הפגם האמיתי היחיד בהיגיון התכנות תוקן”, אמר סוארס-פוטס. “האחרים תיאורטיים.”

משרד פתוח.ORG תיקן מספר פגיעויות בשבועות האחרונים, וסוארס-פוטס אמר כי המשתמשים צריכים לשדרג לגירסה האחרונה.

באגים אחרונים אלה מראים כי לפרויקט הקוד הפתוח יש עבודות אבטחה לפניו, אמר רוס קופר, אנליסט בכיר לאבטחת מידע ב- CyberTrust Inc. “אם סוגים אלה של פגיעויות היו מתגלות במשרד Microsoft, אלה היו חדשות בעמוד הראשון”, אמר. “מי שעשה את האבטחה עבור OpenOffice התעלם לחלוטין ממה שעברה מיקרוסופט באבטחת מסמכי המשרד שלהם.”

התוקפים ניצלו מספר באגים ביישומי המשרד של מיקרוסופט באיחור, שולחים מסמכי Word, Excel ו- PowerPoint מקודדים בזדון באמצעות דואר אלקטרוני למספר קטן של קורבנות בהתקפות ממוקדות במיוחד. ביום שלישי, מיקרוסופט תיקנה את הפגמים האחרונים כאלה, שהיו קשורים ל- PowerPoint.

חוקר חיל האותות אריק פיליול דן גם בחלק מהפתיחה של הצוות.ממצאי אורג במהלך מצגת ועידה. שקופיות המצגת שלו זמינות באופן מקוון (הורד PDF).

פיליול סירב להתראיין לסיפור הזה.

פיטר סייר בפריס תרם לדו”ח זה.

• תוכנה זדונית
• קוד פתוח
• עסק קטן ובינוני

זכויות יוצרים © 2006 IDG Communications, Inc.

מסמכים זדוניים יכולים לחטוף את הפתיחה של אפאצ’י

אבטחת סייבר (נפתח בכרטיסייה חדשה) החוקרים גילו פגיעות בביצוע קוד מרחוק (RCE) Apache OpenOffice (AOO) (נפתח בכרטיסייה חדשה), שניתן להשתמש בו באמצעות קובץ זדוני לביצוע תוכנה זדונית (נפתח בכרטיסייה חדשה) במכונה.

הפגיעות שנמצאה כ- CVE-2021-33035 הודגשה על ידי יוג’ין לים בכנס האקרטסיביות של האקרון, שרק החלה להקים לחקר פגיעות.

Aoo isn’T נפוצה כאחר קוד פתוח (פותח בכרטיסייה חדשה) מזלג, LibreOffice (נפתח בכרטיסייה חדשה), והיה לי השחרור הרשמי האחרון שלה בחודש מאי. ובכל זאת, סוויטת Office עברה מאות מיליוני הורדות, והותירה כמעט את כל המשתמשים פגיעים.

• כאן’זה הסיבוב שלנו של המחשבים הניידים הטובים ביותר לתכנות (נפתח בכרטיסייה חדשה)
• בדוק את הרשימה שלנו לגבי קורסי פייתון הטובים ביותר (נפתח בכרטיסייה חדשה)
• התחל את מסע פיתוח האינטרנט שלך עם אלה הקורסים הטובים ביותר ל- HTML (נפתח בכרטיסייה חדשה)

מעניין, בעוד שקוד המקור של האפליקציה טופח, הקופה מדווח כי התיקון הועמד לרשותו רק כתוכנת בטא.

“אנו משתדלים לגלגל את השחרור עבור Apache OpenOffice 4.1.11 במהלך החודש, בתקווה מוקדם יותר, ופרסם את CVE-2021-33035 לפני השחרור, “אמר דייב פישר, מטעם הוועדה לניהול פרויקטים של AOO (PMC), בהצהרה ל הקופה.

בדיקה בורחת

במקום להתמקד בתוכנה מסוימת, הומלץ לים להפנות את תשומת ליבו בפורמטים של קבצים. חיפוש מהיר הוביל אותו לפורמט קובץ מסד הנתונים של DBase (DBF), שנוצר לפני למעלה מארבעה עשורים, אך משמש עדיין כמנגנון אחסון נתונים על ידי אפליקציות מודרניות כמו Microsoft Office, LibreOffice ו- AOO.

ב בלוג טכני (פותח בכרטיסייה חדשה) שיתוף פרטים על הפגיעות, לים מסביר כיצד הוא הצליח למצוא את באג RCE ב- DBF ללא יותר מדי מאמץ.

“זה התחנן בפני השאלה: מדוע איש לא גילה את הבאג הזה קודם לכן? כתוכנית קוד פתוח, OpenOffice ללא ספק היה נסרק אוטומטית על ידי מנתחי קוד סטטי שונים, מה שהיה מרים בקלות את ה- memcpy הלא בטוח,” כותב לים.

מעט מחקר הוביל אותו לפלטפורמת ניתוח הקוד שמבצע בדיקות בפרויקטים של קוד פתוח, שתויג את AOO כ- פִּיתוֹן (נפתח בכרטיסייה חדשה) ו JavaScript (פותח פרויקט בכרטיסייה חדשה) ולא כ- C ++, מה שמוביל לסורק חסר את הפגיעות.

“זה מדגים את החשיבות של כלים לניתוח סטטי אוטומטי לבדיקת שפיות; אם הכלים שלך לא’לא יודע שהקוד קיים, זה יכול’לא למצוא את הפגיעויות האלה,” מסביר לים.

• אלה הם הקורסים הטובים ביותר ל- JavaScript (נפתח בכרטיסייה חדשה) זמין כעת

האם אתה מקצוען? הירשם לניוזלטר שלנו

הירשם לניוזלטר Techradar Pro כדי לקבל את כל החדשות, הדעה, התכונות וההנחיות שהעסק שלך צריך להצליח!

על ידי הגשת המידע שלך אתה מסכים לתנאים וההגבלות (נפתח בכרטיסייה חדשה) ומדיניות פרטיות (נפתח בכרטיסייה חדשה) ובני 16 ומעלה.

עם כמעט שני עשורים של כתיבה ודיווח על לינוקס, Mayank Sharma היה רוצה שכולם יחשבו שהוא’ג Techradar Pro’ג מומחה בנושא. כמובן, הוא’S מעוניינים בדיוק בנושאי מחשוב אחרים, במיוחד אבטחת סייבר, ענן, מכולות וקידוד.