supinfo
Ouverture de  SUPINFO USA à San Francisco en 2008. Des études en informatique en Californie à un tarif abordable ! Inscrivez-vous dès maintenant !
supinfo
Connexion :
Abonnement NewsletterOk
 

Trois failles pour OpenOffice 2.0.2 et antérieures

Publiée par Alex le Mercredi 5 Juillet 2006

Brève Sécurité

Dans un bulletin de sécurité, OpenOffice.org prévient que trois importantes failles de sécurité ont été mises à jour avec la sortie de la version 2.0.3, que nous évoquions dans cette actualité et que vous pouvez d'ores et déjà télécharger, en français, depuis nos serveurs via cette fiche.

D'après ce bulletin de sécurité, les failles en question ne sont pas encore exploitées mais il est tout de même fortement conseillé de passer à la dernière version en date. La première de ces vulnérabilités concerne le traitement de certaines applets Java dans des documents OpenOffice et pourrait conduire à la prise de contrôle à distance de la machine infectée, avec possibilité de modifier, altérer ou tout simplement supprimer des fichiers.

La seconde peut être exploitée en insérant du code malveillant dans les macros d'un document OpenOffice. Ce code est susceptible d'ouvrir un accès total aux ressources du système sans même que l'utilisateur ne soit prévenu lors de l'ouverture du document incriminé. La troisième exploite des documents XML mal formés pour lancer une attaque de type « buffer Overflow », soit dépassement de mémoire tampon, pouvant mener au crash de l'application ou à l'exécution de code arbitraire.

Secunia prévient par ailleurs que StarOffice versions 6.x, 7.x et 8.x ainsi que StarSuite 7.x et 8.x sont touchées par ces vulnérabilités. Des correctifs sont d'ores et déjà disponibles pour les versions 7.x et 8.x des deux suites. Selon Cristian Driga, coresponsable du marketing au sein du projet OpenOffice.org, la suite bureautique OOo, comme tout logiciel, est amenée à faire face à plus d'attaques au fur et à mesure que sa notoriété grandit.
Actu précédente
Brève suivante
et pour votre ordinateur
Télécharger Messenger (gratuit)

Top logiciels Budget

1 MaxiCompte
Gérez et prévoyez votre budget gratuitement
2 Money 2005 Suite Financière
Gestion de budget facile d'utilisation
3 Smart Organizer
Agenda, planning, carnet d'adresses et gestion de compte bancaire
4 BankPerfect
Gestionnaire de comptes bancaires gratuit
5 ImprimChèques
Completer et imprimer vos chèques
6 Grisbi
Gerer sa comptabilité personnelle
Suite du classement "Budget"
Les Commentaires des lecteurs
_
le 05 Juill. 06 à 12h58
Edition
 
Tiens c'est étrange, y a pas de trolleurs ? Nan j'dis ça parce que d'habitude, dès qu'il y a une faille sur un produit Microsoft (certes qui n'est patchée que 3 mois après, ou pas du tout), on a toujours droit à une horde de trolleurs professionnels aigris et de mauvaises fois...

Ah mais que je suis con ! OpenOffice c'est du libre, alors forcément on peut pas troller le libre :lol:
 
le 05 Juill. 06 à 13h00
Edition
 
FRAI2 a écrit:
Tiens c'est étrange, y a pas de trolleurs ? Nan j'dis ça parce que d'habitude, dès qu'il y a une faille sur un produit Microsoft (certes qui n'est patchée que 3 mois après, ou pas du tout), on a toujours droit à une horde de trolleurs professionnels aigris et de mauvaises fois...

Ah mais que je suis con ! OpenOffice c'est du libre, alors forcément on peut pas troller le libre :lol:

:sarcastic:
 
le 05 Juill. 06 à 13h02
Edition
 
C'est cool, pas besoin de payer pour avoir une suite bancale. Merci OOo. :p
Au passage, pourquoi ils n'y a pas de titre incendiaire à la "Jammais 2 sans 3", "Encore une faille critique", etc comme pour MS Office ? :riva:
Mais bon, au moins, contrairement à un grand nombre de de troll de la communauté de l'open soure (Linux, OOo, etc), eux au moins, ils ont conscience qu'ils ont plein de failles comme leur concurent payants et qu'ils risquent de plus en plus de problèmes au fur et à mesure que leur notoriété grandi. :jap:
 
le 05 Juill. 06 à 13h06
Edition
 
FRAI2 a écrit:
Tiens c'est étrange, y a pas de trolleurs ? Nan j'dis ça parce que d'habitude, dès qu'il y a une faille sur un produit Microsoft (certes qui n'est patchée que 3 mois après, ou pas du tout), on a toujours droit à une horde de trolleurs professionnels aigris et de mauvaises fois...

Il faut dire que les failles ne sont pas dangereuses. Faire planter l'appli, c'est pas bien grave !
 
le 05 Juill. 06 à 13h09
Edition
 
FRAI2 a écrit:
Tiens c'est étrange, y a pas de trolleurs ? Nan j'dis ça parce que d'habitude, dès qu'il y a une faille sur un produit Microsoft (certes qui n'est patchée que 3 mois après, ou pas du tout), on a toujours droit à une horde de trolleurs professionnels aigris et de mauvaises fois...

Ah mais que je suis con ! OpenOffice c'est du libre, alors forcément on peut pas troller le libre :lol:

T'inquiète pas faut laisser le temps a OOo d'aquiérir un peu plus de notoriété, une fois qu'il sera célèbre il en aura plein, car pour moi la rancoeur d'un ennemi (quelqu'un qui veut nuire à l'image d'un produit ici) est synonyme de succès.

Mais bon, pour une suite bureautique, je m'en fout royalement (:nico:) qu'il y ait des failles de secu vu que je ne lit jamais aucun fichier provenant de parfaits inconnus... C'est un conseil assez con mais c'est toujours bon de le rappeler.

PS: je peut savoir pourquoi quand je clique sur le smyle avec la couronne dans l'interface je tombe sur un article sur DADVCI ??? :??:
 
le 05 Juill. 06 à 13h09
Edition
 
FRAI2 a écrit:
Tiens c'est étrange, y a pas de trolleurs ? Nan j'dis ça parce que d'habitude, dès qu'il y a une faille sur un produit Microsoft (certes qui n'est patchée que 3 mois après, ou pas du tout), on a toujours droit à une horde de trolleurs professionnels aigris et de mauvaises fois...

Ah mais que je suis con ! OpenOffice c'est du libre, alors forcément on peut pas troller le libre :lol:

Justement parce que c'est libre c'est à la fois la faute de personne et de tous le monde (dont toi). Je m'explique : tu as accés aux sources, tu n'as vu la faille et tu ne l'a pas corrigée => c'est ta faute...
"Rien ne sert de critiquer c'est libre" => tu as une critique, et bien si tu sais pas coder tu la propose, sinon tu code :)

Pour les logiciels proprio c'est différent vu que seul un groupe de programmeur à accés au code donc c'est la faute à eux seuls. D'autant plus qu'il font payer :@
 
le 05 Juill. 06 à 13h12
Edition
 
Ciao_Lolo a écrit:
Il faut dire que les failles ne sont pas dangereuses. Faire planter l'appli, c'est pas bien grave !

La première de ces vulnérabilités concerne le traitement de certaines applets Java dans des documents OpenOffice et pourrait conduire à la prise de contrôle à distance de la machine infectée, avec possibilité de modifier, altérer ou tout simplement supprimer des fichiers.
:paf:

Une news c'est pas qu'un titre, c'est aussi un gros assemblage de mots qui à un sens derrière (si si), alors par égars pour l'auteur qui s'est fait chier à l'écrire tu pourrais lire ce dernier. :sarcastic:
 
le 05 Juill. 06 à 13h12
Edition
 
FRAI2 a écrit:
Tiens c'est étrange, y a pas de trolleurs ? Nan j'dis ça parce que d'habitude, dès qu'il y a une faille sur un produit Microsoft (certes qui n'est patchée que 3 mois après, ou pas du tout), on a toujours droit à une horde de trolleurs professionnels aigris et de mauvaises fois...

Ah mais que je suis con ! OpenOffice c'est du libre, alors forcément on peut pas troller le libre :lol:


Oui c'est assez etrange.
Encore plus etonant que ces trois failles soient restées soigneusement cachées...
De la à dire qu'il y a une difference de comportement chez les professionnels entre Microsoft et le reste du monde, il n'y a qu'un pas...
 
le 05 Juill. 06 à 13h13
Edition
 
Metaldark a écrit:
Justement parce que c'est libre c'est à la fois la faute de personne et de tous le monde (dont toi). Je m'explique : tu as accés aux sources, tu n'as vu la faille et tu ne l'a pas corrigée => c'est ta faute...
"Rien ne sert de critiquer c'est libre" => tu as une critique, et bien si tu sais pas coder tu la propose, sinon tu code :)

Pour les logiciels proprio c'est différent vu que seul un groupe de programmeur à accés au code donc c'est la faute à eux seuls. D'autant plus qu'il font payer :@

Au lieu de gueuler, vas nous pondre un correctif, puisque c'est de ta faute...
 
le 05 Juill. 06 à 13h14
Edition
 
Pour les trolls, il y en a plein dans le libre mais c'est des trolls "constructifs" :ane:

Allez voir la LKML pour voir :paf:
 
le 05 Juill. 06 à 13h15
Edition
 
Cyberstein a écrit:
Au lieu de gueuler, vas nous pondre un correctif, puisque c'est de ta faute...

Heu la version 2.0.3 est déja sortie ;)
Oh mais oui c'est rapide le libre vu que tous le monde contribu :p
 
Voir profilContacter le membre
KP2
le 05 Juill. 06 à 13h16
Edition
 
MOUAHAHAHAHAHAHA

Encore une faille !!! bouououououh !!! y sont vraiment nuls a chier les dev OOo !!
Quelle bande de blaireaux ! A cause d'eux, le monde court a sa perte ! Adieu monde civilise ! tu creveras sous les failles de tes logiciels Libres ! Libres ? Libres de nous empoisonner la vie oui ! vive les logiciels proprios avec lesquels on est en parfaite securite ! Ben ouais, personne peut voir le code alors les pirates n'ont aucun moyen de trouver des failles !




ah merde... c'est deja corrige depuis plus d'une semaine avec la version 2.0.3...
 
le 05 Juill. 06 à 13h18
Edition
 
Metaldark a écrit:
Pour les trolls, il y en a plein dans le libre mais c'est des trolls "constructifs" :ane:

Allez voir la LKML pour voir :paf:

Oui oui ça doit être ça, absolument... :riva:

"Troll" et "constructif" sont strictement incompatible, soit c'est un débat soit c'est un troll des cavernes. Et c'est vrai que sur Linux il y a tellement de débats sur "Ma distrib elle ai mailleure que la tienne" :whistle:

EDIT:Bon, je me casse, j'entend déjà 2 kevins de 12ans (age mental) qui arrivent, les autres doivent pas être loin ! *fear*

Contact visuel, décolle ! VITE ! DECOOOOLLE !
 
le 05 Juill. 06 à 13h19
Edition
 
BetaGamma a écrit:
Oui c'est assez etrange.
Encore plus etonant que ces trois failles soient restées soigneusement cachées...
De la à dire qu'il y a une difference de comportement chez les professionnels entre Microsoft et le reste du monde, il n'y a qu'un pas...

Théoriquement, si ces un hacker "sympatique" qui découvre la faille cela se déroule comme cela :
- Le hacker découvre la faille, et le fait savoir aux concepteurs du logiciel.
- Une sorte d'accord formel est fait entre eux, que si les concepteurs ne corrigent pas le logiciel dans le mois, le hacker dévoile la faille.

Donc c'est pour ca que tu en as pas entendu parler avant...
En général ca ce passe comme cela, et c'est bien sur dans le but d'éviter des problèmes de sécurités.
Les hackers ne sont pas là pour foutre la merde, mais pour sécuriser l'informatique...
 
le 05 Juill. 06 à 13h20
Edition
 
BetaGamma a écrit:
Oui c'est assez etrange.
Encore plus etonant que ces trois failles soient restées soigneusement cachées...
De la à dire qu'il y a une difference de comportement chez les professionnels entre Microsoft et le reste du monde, il n'y a qu'un pas...

+1
Bizarre qu'ils s'en apercoivent seuleument quand la mise à jour est sortie :/
 
Voir profilContacter le membre
KP2
le 05 Juill. 06 à 13h22
Edition
 
BetaGamma a écrit:
Oui c'est assez etrange.
Encore plus etonant que ces trois failles soient restées soigneusement cachées...


pour qu'une faille soit revelee, il faut la chercher. Si personne n'audite les applis regulierement alors effectivement les failles existent mais restent planquees.
Des failles sont encore revelees regulierement dans IE alors qu'il n'a pas evolue d'un pouce depuis 5 ans... elles existaient pendant tout ce temps.
 
Voir profilContacter le membre
KP2
le 05 Juill. 06 à 13h26
Edition
 
Dalai-Lama a écrit:
Théoriquement, si ces un hacker "sympatique" qui découvre la faille cela se déroule comme cela :
- Le hacker découvre la faille, et le fait savoir aux concepteurs du logiciel.
- Une sorte d'accord formel est fait entre eux, que si les concepteurs ne corrigent pas le logiciel dans le mois, le hacker dévoile la faille.


1 mois c'est pour Windows. 1 mois pendant lequel une faille existe mais n'est pas publique. 1 mois pendant lequel 1 ou plusieurs personnes sont au courant et peuvent faire ce qu'elles veulent de cette info...

Mozilla n'a pas ce genre de delai fixe mais se donne 1 semaine en general.
D'autres projets libres ont un bugtracker ouvert a tous donc la faille est publique des le premier jour.
 
Voir profilContacter le membre
KP2
le 05 Juill. 06 à 13h30
Edition
 
silvershoot a écrit:
+1
Bizarre qu'ils s'en apercoivent seuleument quand la mise à jour est sortie :/


ca sert a rien de dire "bizarre gna gna gna complot terroriste".
Si tu veux savoir ce qu'il en est, tu vas simplement consulter les archives des mailing lists developpeurs ainsi que le bugtracker et tu devrais avoir toutes les informations possibles sur l'historique de ces 3 failles.

Je rappelle que le Libre permet de suivre au plus pres l'evolution des applis. C'est transparent. C'est pas parce que Clubic est en retard d'une ou 2 semaine qu'il y a un truc "bizarre". Rien n'est cache pour faire bonne figure comme dans le proprio.
 
le 05 Juill. 06 à 13h30
Edition
 
C'était un exemple :o
Et pour les bugtracker, bien souvent (voir tout le temps) ces failles de sécurités ne sont afficher uniquement pour certaines personnes qui contribuent beaucoup, pas pour tout le monde, ce qui est tout à fait logique.
 
Continuer sur le forum
58 messages
1
2
3
>
 
 
Clubic.com