Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в LibreOffice, позволяющая выполнить скрипт при работе с документом"	+/–
Сообщение от opennews (??), 13-Окт-22, 09:50
В свободном офисном пакете LibreOffice выявлена уязвимость (CVE-2022-3140), позволяющая организовать выполнение произвольных скриптов при клике на специально подготовленную ссылку в документе или при срабатывании определённого события во время работы с документом. Проблема устранена в обновлениях  LibreOffice 7.3.6 и 7.4.1... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57910
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Окт-22, 09:50	+11 +/–
Отключить скрипты и всё. Верно говорю, пацаны?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #32

2. Сообщение от Аноним (2), 13-Окт-22, 09:51	–13 +/–
Не пользоваться либрой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #45

3. Сообщение от Аноним (2), 13-Окт-22, 09:52	+7 +/–
Но ведь это же сразу понятно что фича.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #36

4. Сообщение от Аноним (4), 13-Окт-22, 10:29	+12 +/–
Не пользоваться компьютером.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от rshadow (ok), 13-Окт-22, 10:43	–1 +/–
Ура! Семимильными шагами догоняем конкурентов!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #20

6. Сообщение от Аноним (6), 13-Окт-22, 11:14	–2 +/–
>выполнение произвольных скриптов при клике на специально подготовленную ссылку в документе Ну так не кликай на эту ссылку, балда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #26

7. Сообщение от Аноним (7), 13-Окт-22, 11:37	+/–
Зачем им шарипоинт понадобился?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #38

8. Сообщение от Аноним (7), 13-Окт-22, 11:39	+2 +/–
Этого не может быть - макросы пишут честные программисты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

9. Сообщение от Аноним (9), 13-Окт-22, 11:54	+3 +/–
> Ну так не кликай на эту ссылку, балда. И не подводите мышь к словам, чтобы не сработал обработчик события?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #34

10. Сообщение от Константавр (ok), 13-Окт-22, 12:10	–2 +/–
Вот и как пользоваться чем-то удобно? Кто-то запилил для удобства, а кто-то гадости этим делает. Как разрешить только невредительскую деятельность? Остаётся только электроды вживлять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

11. Сообщение от пох. (?), 13-Окт-22, 12:20	+/–
_Шва6одные_ макросы пишут честные программисты, обратите внимание. С нешва6одными все плохо и их мы неавтозапускать научились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #18

12. Сообщение от Аноним (12), 13-Окт-22, 13:22	+1 +/–
Это опенсурс макросы и миллионы глаз посмотрят их и увидят, что они неопасные )
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от penetrator (?), 13-Окт-22, 14:01	+2 +/–
No download is available for the requested version 7.3.6. И сайт у них такой что долбануться
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (14), 13-Окт-22, 14:18	+2 +/–
В очередной раз openoffice доказал своё тотальное превосходство, ему даже не пришлось ничего для этого делать.
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Я в танке (?), 13-Окт-22, 15:21	+2 +/–
А что, эти макросы не в песочнице выполняются?
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Бывалый смузихлёб (?), 13-Окт-22, 17:01	+1 +/–
Причём абсолютному большинству те макросы даром не нужны. В принципе странно что их поддержка по умолчанию не выключена( кому они нужны - сам без проблем нажмёт на кнопку Включить ) Хочется чего-то простенько повычислять - есть Excel или его подобия, но и там оно тоже без макросов работает. Формулы, условное форматирование и прочие радости
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #22

20. Сообщение от pic (?), 13-Окт-22, 17:21	+1 +/–
А конкуренты сливаются с облаками. https://www.cnews.ru/news/top/2022-10-13_microsoft_ubivaet_o...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #30

22. Сообщение от пох. (?), 13-Окт-22, 17:32	–1 +/–
autorun макросы обычно предназначены для тех, кто ниасиливает "сам что-то включить".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #27, #35

26. Сообщение от Аноним (26), 13-Окт-22, 20:55	+/–
> или при срабатывании определённого события во время работы с документом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

27. Сообщение от OpenEcho (?), 13-Окт-22, 21:02	–1 +/–
> кто ниасиливает "сам что-то включить" И их к сожалению - большинство
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

28. Сообщение от Michael Shigorin (ok), 13-Окт-22, 22:45	+/–
Попытался я найти этот патч (или их набор, или багу). И шо вы таки думаете... не вижу. PS: в смысле и в `git log master` тоже не вижу, и эти CVE/DSA там не упоминаются.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

29. Сообщение от Анонир (?), 14-Окт-22, 07:42	+/–
В версии 7.4.2 исправили, а не в 7.4.1.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от rshadow (ok), 14-Окт-22, 09:20	+/–
Они пытаются запрыгнуть в уходящий поезд. У меня в окружении все в гугл доках сидят и работают совместно. Я сам много лет уже ничего из локального офиса не открывал. Мне вот так все это видится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #31, #33, #42, #44

31. Сообщение от Каскадер (?), 14-Окт-22, 10:16	+/–
А это не вы недавно истерили, когда некоторые облачные сервисы "ушли" вместе с данными и оплатой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #41

32. Сообщение от Аноним (32), 14-Окт-22, 12:40	+3 +/–
Они что-то слишком уж хорошо офис косплеить стали, даже вулны воспроизвели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

33. Сообщение от Аноним (32), 14-Окт-22, 12:41	+1 +/–
Будет очень интересно когда твоих коллег дружно зобанят, или просто дропнут сервис решив что недостаточно профитабельно, как с плюсом :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40

34. Сообщение от Аноним (32), 14-Окт-22, 12:42	+/–
А там OnLoad никакого нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

35. Сообщение от Аноним (32), 14-Окт-22, 12:43	+/–
Ну им и включают в результате целый рассадник ботнетов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

36. Сообщение от economist (?), 14-Окт-22, 15:43	+/–
Да, это фича. Например в моей конторе в шаблонах договора есть поля <сумма прописью>. При вводе в них числа - появляется сумма словами. Сделано именно сабжем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

37. Сообщение от vitektm (?), 14-Окт-22, 16:52	+/–
А опции нет, использовать скрипты только для документов созданных на этом пк ? А для остальных запрос ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

38. Сообщение от Аноним (38), 14-Окт-22, 17:48	+/–
По работе...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

39. Сообщение от Аноним (38), 14-Окт-22, 17:50	+/–
И как ты привяжешь документ к ПК, если все ПК - виртуалки, сделанные клонами, автоматически, что даже MAC адреса могут быть переиспользованы много раз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от rshadow (ok), 14-Окт-22, 18:26	+/–
Рано или поздно обязательно забанят. Все это знают. Вопрос в том что локальный нафиг никому не вперся, поэтому пользуются тем что удобнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

41. Сообщение от rshadow (ok), 14-Окт-22, 18:27	+/–
Наврят ли, я истерикам не подвержен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

42. Сообщение от Michael Shigorin (ok), 14-Окт-22, 20:51	+2 +/–
Году в 2009 при "быстром старте" новой лавки в такое вляпались, больше не хочу. RMS прав насчёт того, что there's no cloud, just other people's computers.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

43. Сообщение от Michael Shigorin (ok), 14-Окт-22, 21:11	+/–
Опять коллаборсионисты?.. (туда же a31b7ea9e62f6d44685aff28e1412eb43b796847) commit fdd8686987ca4ee693f5f194c8eb482daa69cfef Author: Mike Kaganski <mike.kaganski@collabora.com> Date:   Tue Oct 18 16:02:46 2016 +1000     tdf#100837: Register new URI handlers with installer          This patch registers vnd.libreoffice.command unconditionally,     and also registerd ms-word, ms-excel, ms-visio and ms-powerpoint     handlers according to SELECT_WORD, SELECT_EXCEL, SELECT_VISIO, and     SELECT_POWERPOINT properties (that are set in FileTypeDialog).          This allows to use these URIs in e.g. SharePoint WebDAV integration          Change-Id: I3231a15196858da77f1784a47f86f1729a6044bb     Reviewed-on: https://gerrit.libreoffice.org/29988     Tested-by: Jenkins <ci@libreoffice.org>     Reviewed-by: Mike Kaganski <mike.kaganski@collabora.com>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

44. Сообщение от Аноним (44), 15-Окт-22, 03:17	+/–
Выборка на основе тебя и твоего кота (воображаемого)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

45. Сообщение от anonymous (??), 15-Окт-22, 23:49	+/–
gnumeric и abiword - наш выбор!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

46. Сообщение от Xasd7 (?), 16-Окт-22, 01:59	+/–
> При клике или активации по событию в документе подобные ссылки могут использоваться для запуска скриптов без вывода предупреждения пользователю. удобно!
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 16-Окт-22, 16:34	+/–
А чета после обновления при открытии файла exel выскакивает красное предупреждение о смене какогото пароля, нет там никакого пароля, че за фигня ???
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема