Uma curiosa vulnerabilidade no (Libre|Open)Office
O LWN comenta um curioso relato de vulnerabilidade divulgado pela Document Foundation, aparentemente com seriedade considerável: segunda a organização, a falha poderia ser usada para propósitos que incluem a instalação de vírus por meio de um documento de texto especialmente preparado.
A correção foi realizada (sem divulgação) nas versões 3.4.3 e 3.4.4 do LibreOffice, lançadas em agosto, mas os detalhes teriam sido mantidos em segredo “até que os usuários tivessem tempo de migrar para a nova versão”.
Ainda segundo o LWN, não está claro que as distribuições de Linux e outros distribuidores em grande escala do software tenham sido uniformemente avisadas pela Fundação de que havia alguma razão para incluírem a correção da falha secreta nas versões distribuídas por elas, que usualmente adotam ciclos mais longos do que o prazo de pouco mais de um mês dado pela fundação.
Outro efeito interessante é que o OpenOffice, afetado pelo mesmo bug, também não lançou correção previamente, e aparentemente não havia um mecanismo eficaz em funcionamento para troca de informações com este grau de relevância entre as equipes de segurança dos 2 projetos baseados em uma mesma árvore de código – ou seja, os desenvolvedores do OpenOffice confirmaram que não ficaram sabendo até a divulgação pública pela Document Foundation, e mencionaram que esperam ser a última vez que os integrantes de um dos 2 projetos fiquem sabendo de uma descoberta deste tipo pela imprensa.
Se a sua versão de um dos 2 programas, ou de um derivado, é anterior a agosto, um upgrade para uma versão livre do bug é mais do que essencial – e enquanto não ocorrer, a abertura de arquivos DOC obtidos ou manipulados por terceiros é mais arriscada do que de costume. (via lwn.net – “An odd vulnerability report for LibreOffice [LWN.net]”)
@brlinuxblog
Feed RSS
Que coisa hein!? Também espero que seja a última vez que algo tão sério e ao mesmo tempo tão trivial (a descoberta, correção e comunicação de bugs) seja tratada de forma, digamos, tão amadora… :(
Que coisa hein!? Também espero que seja a última vez que algo tão sério e ao mesmo tempo tão trivial (a descoberta, correção e comunicação de bugs) seja tratada de forma, digamos, “Microsoft”….
Essa é a TDF, no egoísmo de sempre.
O último grande recurso que o MS Office tinha e o Libre|Openoffice não possuía. Agora os usuários da suíte da MS podem migrar com segurança, pois está tudo funcionado como eles estão acostumados :-P
Para mim acabou o motivo que separava os dois grupos. A document foundation deveria se juntar a apache ou a apache deveria deixar o openoffice para a document foundation. Não dar apenas o código, pois não adianta doar algo igual a que já se tem. Mas passara a equipe inteira.
Correção insignificante: as versões lançadas em outubro foram as 3.3.4 e 3.4.3, não a 3.4.4 (ainda porvir).
Ninguém sabe até o momento sobre o futuro do Libre-Office, porém estou gostando da limpeza de codigo que eles fizeram, já notei a diferença aqui a versão 3.4.4 deve ter muitas novidades. Ansioso aguardamos…
Será uma estratégia para impulsionar o Libre Office no mercado, em lugar do OOo?? Não deveriam eles juntar as suas forças, ao invés de separar?? Estou vendo uma reedição de alguns dos problemas que assolaram o Br-Office há não muito tempo atrás??
Putz… não avisaram os caras do OPenOffice sobre um bug de segurança? Um telefonema, um simples email poderia resolver isso. Triste. Que egoísmo.