IDG Now! - Segurança do OpenOffice.org é insuficiente, alertam pesquisadores
Com o pacote corporativo Office, da Microsoft, como alvo de hackers, pesquisadores do Ministério de Defesa da França revelaram que o software OpenOffice.org pode também ser um grande risco para vírus de computador. "A segurança geral do OpenOffice é insuficiente", escreveu o grupo em um documento chamado de "Análise profunda de ameaças digitais com arquivos OpenOffice.org", publicado no diário acadêmico francês Journal in Computer Virology. "O pacote está vulnerável a potenciais ataques de malwares", escreveram. (...)
O time responsável pelo OpenOffice já consertou uma falha descoberta pelos pesquisadores franceses, e os dois grupos estão em discussões sobre como melhorar a segurança geral do aplicativo, disse Louis Suarez-Potts, diretor da comunidade OpenOffice.org. "A falha real na lógica de programação foi consertada", disse Suarez-Potts. "As outras são apenas teóricas". O OpenOffice.org consertou diversas vulnerabilidades nas últimas semanas, e Suarez-Potts disse que usuários devem atualizar seu pacote para a última versão.
As últimas vulnerabilidades mostram que o projeto de código livre tem algum trabalho na área de segurança a ser feito ainda, Russ Cooper, analista sênior de segurança da informação na CyberTrust. "Se estes tipos de vulnerabilidades fossem descobertas no Microsoft Office, isto seria notícia na primeira página", disse. "Quem fez a segurança do OpenOffice ignorou completamente o que a Microsoft passou com a segurança dos seus documentos do Office", complementou.
Veja o texto completo em IDG Now! - Segurança do OpenOffice.org é insuficiente, alertam pesquisadores.
(postado por Augusto Campos)
Comentários dos leitores
Comentário de leonardo_lopes
14/08/06 12:21 - usuário registrado #967
Por isso, mais uma vez, eu: Por isso, mais uma vez, eu volto a afirmar que LATEX é a solução para 90% dos casos.
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
Comentário de popolony2k
14/08/06 12:33 - usuário registrado #8136
OO é um risco para os virus mesmo ! Concordo.: "OpenOffice.org pode também ser um grande risco para vírus de computador. "A segurança geral do OpenOffice é insuficiente", escreveu o grupo em um documento chamado de "Análise profunda de ameaças digitais com arquivos OpenOffice.org""
Até posso concordar com eles, desde que publiquem de maneira clara em seu site quais são as brechas.
Se não for assim vou continuar acreditando que o OO é um risco para os virus.......um risco para extinção deles.
O mundo está cheio de "especialistas".
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Até posso concordar com eles, desde que publiquem de maneira clara em seu site quais são as brechas.
Se não for assim vou continuar acreditando que o OO é um risco para os virus.......um risco para extinção deles.
O mundo está cheio de "especialistas".
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Comentário de Douglas Augusto
14/08/06 12:41 - usuário registrado #12
Depende do editor usado para: Depende do editor usado para escrever em LaTeX. Não duvido que existam pessoas que codifiquem pelo próprio OpenOffice.org. ;-)
--
GAFFitter: a file fitter powered by a genetic algorithm.
--
GAFFitter: a file fitter powered by a genetic algorithm.
Comentário de Manoel Pinho
14/08/06 12:45 - usuário registrado #8
Como eu vi no comentário de: Como eu vi no comentário de um gringo no Slashdot, então qual é a alternativa de editor wysiwyg (o LaTeX é ótimo mas exige um aprendizado maior) ? O abiword é interessante mas a compatibilidade com os arquivos do M$ Office é inferior.
Usar o M$ Office com falhas mais do que conhecidas e com diversos exploits reais rodando soltos por aí e ainda pagando caro por isso ou usar o OpenOffice.org com POTENCIAIS (isto é, não exploradas) falhas de segurança, gratuito e multiplataforma (ou seja, algumas falhas de segurança podem haver em uma ou outra plataforma) ?
Logicamente deve haver preocupação em corrigir os problemas de segurança mas a notícia é bastante alarmista.
------------------------------
Usuário Linux #100343
Participe da Comunidade de Usuários do Mandriva Linux no Brasil
Usar o M$ Office com falhas mais do que conhecidas e com diversos exploits reais rodando soltos por aí e ainda pagando caro por isso ou usar o OpenOffice.org com POTENCIAIS (isto é, não exploradas) falhas de segurança, gratuito e multiplataforma (ou seja, algumas falhas de segurança podem haver em uma ou outra plataforma) ?
Logicamente deve haver preocupação em corrigir os problemas de segurança mas a notícia é bastante alarmista.
------------------------------
Usuário Linux #100343
Participe da Comunidade de Usuários do Mandriva Linux no Brasil
Comentário de nemesis
14/08/06 12:46 - usuário registrado #1514
se: se ao menos 10% da população soubesse usar... ;)
por outro lado, o problema não é o formato de documento, é a ferramenta usada para processá-lo: se LaTeX fosse adotado por uma dessas ferramentas WYSIWYG cheias de frescuras e facilidades de uso, pode crer que reclamariam da falta de segurança que o recurso de gravação de macros traz...
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
por outro lado, o problema não é o formato de documento, é a ferramenta usada para processá-lo: se LaTeX fosse adotado por uma dessas ferramentas WYSIWYG cheias de frescuras e facilidades de uso, pode crer que reclamariam da falta de segurança que o recurso de gravação de macros traz...
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Comentário de popolony2k
14/08/06 12:51 - usuário registrado #8136
Terror: Digo que o intuito desse tipo de notícia é causar o terror na comunidade OO, uma vez que esse tipo de terror nem afeta mais os usuários do M$Office que já devem estar conformados com as brechas.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Comentário de leonardo_lopes
14/08/06 12:55 - usuário registrado #967
Os problemas estão no: Os problemas estão no processamento das macros, que, no caso do LaTeX, é algo bem trabalhado a séculos. Fala-se até na inexistência de bugs.
Ferramentas WYSIWYG seriam horríveis para latex, melhor seriam soluções WYSIWYM.
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
Ferramentas WYSIWYG seriam horríveis para latex, melhor seriam soluções WYSIWYM.
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
Comentário de leonardo_lopes
14/08/06 12:57 - usuário registrado #967
codificar pelo OOo? Onde: codificar pelo OOo? Onde esse mundo vai parar?
de qualquer modo, existem vários bons e livres editores latex, cada um pode escolher o que achar melhor. Eu gosto do EMACS + Auctex.
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
de qualquer modo, existem vários bons e livres editores latex, cada um pode escolher o que achar melhor. Eu gosto do EMACS + Auctex.
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
Comentário de nemesis
14/08/06 13:08 - usuário registrado #1514
outro tipo: Obviamente não estou falando de macros escritas, já que o próprio LaTeX não passa de um conjunto de macros TeX. Estou falando daquela facilidade para o usuário final de automatizar tarefas da ferramenta gráfica em si e mesmo poder abrir arquivos e deletá-los. E permitir embutir tais automações nos documentos. é um problema e simplesmente bloquear quando o documento abre e perguntar se o usuário quer rodar as macros ou não, não adianta muito, já que a maioria vai simplesmente apertar o "Sim", sem pensar duas vezes...
o problema é a filosofia "next" que permeia a cultura Windows e contamina mesmo software livre como OpenOffice.
Acho que uma solução melhor vai ocorrer quando documentos virem digitalmente assinados e permissões de execução de macros levarem essa informação em consideração para automaticamente rodarem macros ou não.
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
o problema é a filosofia "next" que permeia a cultura Windows e contamina mesmo software livre como OpenOffice.
Acho que uma solução melhor vai ocorrer quando documentos virem digitalmente assinados e permissões de execução de macros levarem essa informação em consideração para automaticamente rodarem macros ou não.
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Comentário de popolony2k
14/08/06 13:11 - usuário registrado #8136
Brechas: "Usar o M$ Office com falhas mais do que conhecidas e com diversos exploits reais rodando soltos por aí e ainda pagando caro por isso ou usar o OpenOffice.org com POTENCIAIS (isto é, não exploradas) falhas de segurança, gratuito e multiplataforma (ou seja, algumas falhas de segurança podem haver em uma ou outra plataforma) ?"
"As brechas sempre existirão enquanto existir o software", já dizia o milenar filósofo que sou eu mesmo.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
"As brechas sempre existirão enquanto existir o software", já dizia o milenar filósofo que sou eu mesmo.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Comentário de popolony2k
14/08/06 13:17 - usuário registrado #8136
Caraca: "Acho que uma solução melhor vai ocorrer quando documentos virem digitalmente assinados e permissões de execução de macros levarem essa informação em consideração para automaticamente rodarem macros ou não."
Vc já deu essa idéia pro pessoal da OO ? Vai logo pois a M$ vai fazê-lo e dizer que foi idéia deles.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Vc já deu essa idéia pro pessoal da OO ? Vai logo pois a M$ vai fazê-lo e dizer que foi idéia deles.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Comentário de brandizzi
14/08/06 13:33 - usuário registrado #2076
Anátema!: Sabe o castigo de revelar os segredos divinos aos meros mortais? Eles caçoarão de ti :p
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
Comentário de brandizzi
14/08/06 13:33 - usuário registrado #2076
A-ham...:
...
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
Fala-se até na inexistência de bugs.
...
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
Comentário de brandizzi
14/08/06 13:34 - usuário registrado #2076
Nem foi...: A notícia foi muito natural, sem estardalhaço ou exagero, em minha opinião. E veio em boa hora, afinal. Acho que você está sendo um "pouquinhozinho" tendencioso :p
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
Comentário de brandizzi
14/08/06 13:34 - usuário registrado #2076
Nem foi...: A notícia foi muito natural, sem estardalhaço ou exagero, em minha opinião. E veio em boa hora, afinal. Acho que você está sendo um "pouquinhozinho" tendencioso, não :p
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
--
Adam Victor Nazareth Brandizzi
Site: http://brandizzi.googlepages.com
"Real programmers don't use Pascal: just the integer ones can do it."
Comentário de oi
14/08/06 13:49
Eu não vi ainda: Onde está disponível para baixar a correção ? Pode até estar resolvido, mas enquanto não estiver disponível para download não adianta nada.
Este é o problema de softwares maduros, como já falei antes, independente se é livre ou proprietário. Tem que respeitar processos de desenvolvimento/testes/distribuição.
Vamos aguardar para ver quando a atualização realmente aparecerá para todos.
Este é o problema de softwares maduros, como já falei antes, independente se é livre ou proprietário. Tem que respeitar processos de desenvolvimento/testes/distribuição.
Vamos aguardar para ver quando a atualização realmente aparecerá para todos.
Comentário de nemesis
14/08/06 14:30 - usuário registrado #1514
"Suarez-Potts disse que: "Suarez-Potts disse que usuários devem atualizar seu pacote para a última versão"
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Comentário de Roger de Almeida
14/08/06 15:27 - usuário registrado #4348
Tá!!!
: Tá!!!
Atualizar para qual versão??
Outra coisa!!!
Tem essa notícia mais antiga que fala da descoberta de um vírus (macro) tanto para startoffice bem como o openoffice.
idgnow-seguranca/2006/05/30/
De qualquer forma vou usar e recomendar o openoffice com força.
Acrescentando!! saiu uma notícia no broffice.org.br.
[]
Roger
Atualizar para qual versão??
Outra coisa!!!
Tem essa notícia mais antiga que fala da descoberta de um vírus (macro) tanto para startoffice bem como o openoffice.
idgnow-seguranca/2006/05/30/
De qualquer forma vou usar e recomendar o openoffice com força.
Acrescentando!! saiu uma notícia no broffice.org.br.
[]
Roger
Comentário de Cesar.AR
14/08/06 15:34 - usuário registrado #116
Não tô nem aí!: Vou continuar usando o OpenOffice.org.
_____________
Cesar Ramina
- LinuxUser#225159 - Debian GNU/Linux
_____________
Cesar Ramina
- LinuxUser#225159 - Debian GNU/Linux
Comentário de Ricardo Carvalho
14/08/06 16:52
Segurança é algo: Segurança é algo complicado, depende bem mais do usuário que do software, vejamos um exemplo, descobre-se um problema num CMS que permite injeção de código SQL, se o usuário souber a linguagem do CMS, eu considero isso muito essencial para um adminitrador de sistema, e for bem informado ele pode corrigir a falha ele mesmo, porém tem páginas grandes na internet rodando CMSs que permite as afamadas injeção de código SQL e parece que os administradores não estão nem aí, nem pra neutralizar a falha e nem pra atualizar pra uma nova versão. Quando alguém na universidade diz para mim que o Linux é mais seguro que o Windows, já que ninguém sabe que eu sou um usuário de Linux tentam me proselitar, eu digo que é balela, depende do administrador do sistema, tem administrador de Linux que tem um OpenSSH escancarado e nem sequer lê os logs de sistema, porém já vi usuários Windows zelosos para com a segurança do seu sistema, fazendo as devidas modificações no sistema para deixá-lo razoavelmente seguro.
Comentário de Dm7
14/08/06 16:58 - usuário registrado #2071
Falhas (potenciais ou reais): Falhas (potenciais ou reais) sempre vão ser encontradas. A diferença está na forma de se lidar com elas, o que no caso do software livre é bem mais transparente, e no meu modo de ver, eficiente.
Comentário de hamacker
14/08/06 17:41 - usuário registrado #168
Atualmente o grupo dos: Atualmente o grupo dos administradores zelosos é maior no mundo unix, bsd e linux do que no windows. Convenhamos o next->next->finish causou o efeito de que qualquer sistema é fácil de instalar, configurar e manter, especialmente no Windows.
No Windows o pessoal tem a ideia de que um programa resolve tudo.
A pouco tempo atrás tinha um cara aqui[no brlinux] que dizia que o windows98 dele era super seguro porque ele instalou o XYZ Firewall, isto só porque o firewall dele tinha mania de batepapo com ele sobre que programas podem ou não acessar internet/computador.
Agora que tem linux+ssh pendurado numa senha 123teste ou com versão insegura isto com certeza tem, assim tambem como os routers da telefonica com as senhas de fábrica.
No Windows o pessoal tem a ideia de que um programa resolve tudo.
A pouco tempo atrás tinha um cara aqui[no brlinux] que dizia que o windows98 dele era super seguro porque ele instalou o XYZ Firewall, isto só porque o firewall dele tinha mania de batepapo com ele sobre que programas podem ou não acessar internet/computador.
Agora que tem linux+ssh pendurado numa senha 123teste ou com versão insegura isto com certeza tem, assim tambem como os routers da telefonica com as senhas de fábrica.
Comentário de marcosalex
14/08/06 17:59 - usuário registrado #250
É importante notar uma: É importante notar uma observação dele: certas falhas identificadas foram encontradas no MS Office no passado e a MS corrigiu. Os desenvolvedores não atentaram em olhar e ver que o MS Office também tinha.
Haskell developer
Haskell developer
Comentário de Bruno Laturner
14/08/06 18:23 - usuário registrado #4102
Com certeza.: A inexistência de bugs é causada pela inexistência de novas features.
----------------
CTRL+C, CTRL+V: A melhor ferramenta de programação criada pelo homem.
AjudaLinux Wiki
----------------
CTRL+C, CTRL+V: A melhor ferramenta de programação criada pelo homem.
AjudaLinux Wiki
Comentário de cenoura
14/08/06 22:16 - usuário registrado #523
123teste ???: Droga, descobriram minha senha !!! :P
Hoje um dos maiores problemas de segurança é usar uma política muito fraca para as senhas, isto é, quando esta política existe.
Outro grande problema é tentar manter o sistema com todos os patches de segurança aplicados. Como no OO não temos o problema de segurança com as senhas, falta uma política para manter sempre atualizado.
--
Gustavo Picoloto
http://cenoura.homelinux.com
Hoje um dos maiores problemas de segurança é usar uma política muito fraca para as senhas, isto é, quando esta política existe.
Outro grande problema é tentar manter o sistema com todos os patches de segurança aplicados. Como no OO não temos o problema de segurança com as senhas, falta uma política para manter sempre atualizado.
--
Gustavo Picoloto
http://cenoura.homelinux.com
Comentário de leonardo_lopes
14/08/06 22:24 - usuário registrado #967
Existem novas features, ao: Existem novas features, ao ponto de a compatibilidade com versões antigas não ser de 100%, o que existe é uma base estável, o TeX, e um desenvolvimento lógico.
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
"Be realistic, ask for the impossible."
Leonardo Lopes Pereira
Comentário de popolony2k
14/08/06 22:57 - usuário registrado #8136
Desenvolvimento lógico: Mas qual software não tem um desenvolvimeto lógico....não vale falar Windows.
.
.
.
Nem M$Word.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
.
.
.
Nem M$Word.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Comentário de popolony2k
14/08/06 22:58 - usuário registrado #8136
Tendencioso ??: Manow,
Eu um pouquinho tendencioso ???? Não era minha intenção não...
...eu queria ser completamente tendencioso.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Eu um pouquinho tendencioso ???? Não era minha intenção não...
...eu queria ser completamente tendencioso.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Comentário de popolony2k
14/08/06 23:00 - usuário registrado #8136
Dando nome aos bois.: Era bom especificar as falhas, pois o pessoal mata a cobra, mas não mostra o pau.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Comentário de popolony2k
14/08/06 23:02 - usuário registrado #8136
Vulnerabilidades ????: Ainda bem que sou powered by VI.
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Leidson Campos A. Ferreira
PlanetaMessenger.org (Java Universal Messenger)
Mr. Cooper, é porque:
"O time responsável pelo OpenOffice já consertou uma falha descoberta pelos pesquisadores franceses...O OpenOffice.org consertou diversas vulnerabilidades nas últimas semanas"
geralmente com projetos open-source não dá tempo de colocar a notícia na primeira página: o bug recebe um rápido patch antes...
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")