В свободном офисном пакете LibreOffice выявлена (https://www.libreoffice.org/about-us/security/advisories/cve.../) уязвимость (CVE-2016-4324 (https://security-tracker.debian.org/tracker/CVE-2016-4324)), позволяющая (http://blog.talosintel.com/2016/06/vulnerability-spotlight-l...) инициировать выполнение кода злоумышленника при открытии специально оформленного документа в формате RTF. Причиной уязвимости является обращение к уже освобождённому блоку памяти (Use After Free) в парсере формата RTF, при наличии в документе одновременно таблиц стилей для нормальных и надстрочных символов (superscript). Проблема устранена в опубликованном (https://blog.documentfoundation.org/blog/2016/06/23/libreoff.../) на прошлой неделе выпуске LibreOffice 5.1.4.URL: https://www.libreoffice.org/about-us/security/advisories/cve.../
Новость: http://www.opennet.me/opennews/art.shtml?num=44699
Так и надо тем, кто использует этот формат.
кек, а кто все rtf доки в православные форматы переведёт?
Российские органы часто дают шаблоны документов в таком формате. Внедряют шпионов.
И тем, кто использует кресты.
А что делать любителям штабильности, которые сидят на 5.0.X?
опасаться специально оформленных файлов в формате RTF.
На официальном сайте вообше нет никакой информации, ни списка изменений для последней 5.0.6 ни информации об уязвимых для CVE-2016-4324 версиях
дык свобода же? кому надо сам поищет есть ли уязвимость в их версии.
Кто не может - заплатит вендору и будет пользовать LibreOffice из дистрибутива.
>будет пользовать LibreOffice из дистрибутива.например. https://security-tracker.debian.org/tracker/CVE-2016-4324
в sid-е - "уже", 5.1.4~rc2-2
в stable - уже в 4.3.3-2+deb8u5 -- в security-обновлении
https://www.debian.org/security/2016/dsa-3608(и пока не в "поинт"-релизе, там +deb8u4 / vulnerable)
про wheezy 3.5.4+dfsg2-0+deb7u6 пишет vulnerable
LTS, backports - нет (пока?).
Это как раз не достаточная свобода доступа к процессу разработки (нет changelog для 5.0.6)
и как обновить миллиарды вантузов? через адэ?
> через адэ?через что,простите?))
AD
корпоративные - через адэ, а хомячковые, как обычно, через задэ.
Как эту уязвимость обнаружили, если этот формат ни разу не используется? Три с половиной анонимуса подтверждают))
В сбербанке по регламенту только его и можно. И даже с внешними контрагентами они только через RTF обмениваются текстом. Какбэ... пользуются. Много.
В условиях неполной поддержки .doc(x) LO и неполной поддержки .odf MSO .rtf - самый портируемый формат.
> самый портируемый форматТипа того. В отличии от навороченных docx или odf, разобраться с ним можно без проблем.
>разобраться с ним
> можно без проблем.Наверху точно читал? DF чего-то упускает -- молнируй им.
один раз попробовал заюзать rft в openoffice.
так вылезли такие баги и проблемы, что закрыл и больше не открывал.
для теста открыл в ненавистном офисе - всё шоколадно.
Вот и поддержка открытого формата.
Не путайте, openoffice != libreoffice
Программеры LO зарабатывают тем, что сами вставляют в продукт баги и вульнерабилитисы, после чего их "обнаруживают", тем и живут. Ниже ссылка про технологию и ее обсуждениеhttp://forumooo.ru/index.php/topic,5399.msg33984.html#msg33984
Кому бы послать мэйл с вложенным файлом "мои_фотки.rtf"?..
Да ладно вам измудряться. И на я_в_бане.ехе ещё хорошо клюют.
нафиг изголяться так, если 95% населения радостно откроют реквизиты.ехе?
Тебе то что с того? Ты победишь от этого? Нет.
слово "изголяться" в данном контексте обладает не совсем очевидным значением
> слово "изголяться" в данном контексте обладает не совсем очевидным значениемМожет, потому что подразумевалось "изгаляться"?
Правда тайные знания стремлений и чаяний "95% населения" уже, как бы, намекали …
> Может, потому что подразумевалось "изгаляться"?Изгаля... Галя? Какая такая Галя? Скинь на мыло, посмотрим на эту Галю.
галя(много пробелов).rtf?