Сотни миллионов пользователей OpenOffice оказались под угрозой

Информация о серьёзной уязвимости CVE-2021-33035, в Apache OpenOffice (AOO) была обнародована исследователем безопасности Юджином Лимом на онлайн-конференции HackerOne Hacktivity.

Сотни миллионов пользователей OpenOffice оказались под угрозой. Фото: Pixabay

AOO не так широко используется, как другой продукт с открытым исходным кодом , LibreOffice , и последний официальный выпуск был выпущен ещё в мае. Тем не менее, офисный пакет был загружен сотни миллионов раз. Все пользователи пакета оказались уязвимыми.

Интересно, что хотя исходный код приложения был исправлен, The Register сообщает, что исправление было доступно только в виде бета-версии программного обеспечения.

Из заявления Дэйва Фишера от имени Комитета по управлению проектами AOO (PMC)

«Мы стремимся запустить выпуск Apache OpenOffice 4.1.11 в течение месяца, надеюсь, раньше, и опубликуем информацию о CVE-2021-33035 перед выпуском»

Вместо того, чтобы сосредотачиваться на конкретном программном обеспечении, Лиму посоветовали сосредоточить своё внимание на форматах файлов. Быстрый поиск привёл его к формату файла базы данных dBase (DBF), который был создан более четырёх десятилетий назад, но до сих пор используется в качестве механизма хранения данных в современных приложениях, таких как Microsoft Office, LibreOffice и AOO.

Из сообщения Юджина Лима

«Возникает вопрос: почему никто не обнаружил эту ошибку раньше? Как программа с открытым исходным кодом, OpenOffice, несомненно, автоматически сканировался бы различными статическими анализаторами кода, которые легко могли бы обнаружить дыру в безопасности. Небольшое исследование привело меня к платформе анализа кода, которая запускает тесты на проектах с открытым исходным кодом. Она пометила AOO как проект Python и JavaScript , а не как C ++, что привело к тому, что сканер не обнаружил уязвимости. Это демонстрирует важность инструментов автоматического статического анализа для проверки работоспособности. Если ваши инструменты не знают, что код существует, они не смогут найти эти уязвимости»

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме