Archive pour la catégorie ‘LibreOffice’

OpenOffice fiable et sécure

Dimanche 29 septembre 2019

Bogue alerteDepuis cet été, une vague de failles de sécurité touche LibreOffice. Plusieurs rapports ont été ouverts sur le site CVE qui compulse l’ensemble des alertes en informatique. En cause, le module LibreLogo permettant d’avoir un environnement de programmation sous Writer. Développé en Python, il génère depuis août une cascade de correctifs afin d’éviter aux utilisateurs d’ouvrir des documents piégés.

Tout commence avec le CVE-2019-9848. Cette faille permet à un pirate de créer un document malveillant pouvant exécuter silencieusement des commandes sans aucune alerte pour l’utilisateur. La rustine fournie est malheureusement insuffisante puisque d’autres chercheurs en sécurité la contourne et qui génèreront d’autres rapports : CVE-2019-9850 à 52 et CVE-2019-9855.

Rassurez-vous chers lecteurs, OpenOffice n’est pas concerné. Contrairement à ce qu’on peut lire sur les réseaux sociaux, ce n’est pas parce qu’il n’y a pas de nouvelle version chaque trimestre que le ciel va vous tomber sur la tête. Déjà au mois de mars 2019, je vous prouvais que l’exécution de code arbitraire n’était pas possible. Il en va de même avec le reste puisque OpenOffice n’embarque par le fameux LibreLogo dans ses programmes. Vous restez donc en parfaite sécurité.

Quand LibreOffice veut se faire remarquer

Jeudi 27 juin 2019

Dès qu’on parle d’OpenOffice, on voit le nez LibreOffice se pointer.

Regardez moi mais regardez moi bon sang

Suite à ce billet et comme la retape continue sur les réseaux sociaux, toute cette agitation m’a fait penser à ça.

LibreOffice ou la volonté de s’imposer

Mardi 2 avril 2019

Cui-cui pour AOODepuis quelques semaines, regain de cui-cui sur le réseau social éponyme pour annoncer l’énième mort du projet OpenOffice. L’équipe francophone de LibreOffice qui tient le compte Teutteur  tente à nouveau de distiller cette intox :
Cui-cui

Ce qu’ils ont du mal à comprendre, c’est que l’utilisateur est seul à décider du logiciel avec lequel il souhaite travailler. Imposer LibreOffice n’est donc pas du goût de tout le monde :
Cui-cui

Cui-cui

Bref, libre ne veut pas dire systématiquement LibreOffice.

CVE-2018-16858 : OpenOffice non concerné

Vendredi 8 mars 2019

Il y a quelques semaines, une preuve de concept était publiée depuis un blogue autrichien. L’article stipule qu’il serait possible depuis un ODT d’exécuter du code malicieux. Une vidéo floue montre qu’un document ouvert sous LibreOffice 6.1.2 exécute la calculatrice au simple survol d’un hyperlien. Cela sans afficher le moindre avertissement.

La faille serait fixée avec les versions Libreoffice 6.1.4 et 6.0.7 mais l’auteur précise que OpenOffice 4.1.6 serait lui-aussi vulnérable.

Testons alors le fameux document suivant les explications données dans l’article. J’ai copié collé le code et l’ait sauvegardé en FODT. Ce format qui signifie Flat ODT n’est pas normalisé, il a été conçu pour les besoins des développeurs afin de faciliter le débogage de OpenOffice puis plus tard, de LibreOffice. A ce jour, OpenOffice ne sait pas l’importer. L’article indique donc de l’ouvrir sous LibreOffice et de l’enregistrer en ODT. Voilà ! Nous aurions alors maintenant, un document piégé capable de lancer des exécutables à notre insu.

Ouvrons ce document sous OpenOffice et voyons si cela se produit…
Animation

Et bien non, une erreur de script s’affiche et rien ne se passe. OpenOffice n’est donc pas concerné.

PS : bien sûr, le code fourni dans le billet du blogue n’est pas adapté car il pointe sur un Python 3.5.5 spécifique à LibreOffice. J’ai donc modifié le fichier avec la version 2.7.6 embarquée dans OpenOffice.

Source : h**ps://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html

LibreOffice publie… des pin’s

Lundi 10 décembre 2018

A la mode dans les années 80, le pin’s est de retour dans la Communauté LibreOffice.
Pin's LibO

On notera la phrase laconique : merci aux donations.

Peut-on dire que l’argent est bien employé ?