Apache OpenOffice出现两个漏洞CVE-2016-6803 CVE-2016-6804,2014年 Apache软件基金会宣布, 开源办公软件Apache OpenOffice下载量突破了一亿次。
OpenOffice是什么
OpenOffice 是开源领域最为知名的办公套件,支持 mac、Windows 以及 Linux 平台,曾被视为微软的有力挑战者。OpenOffice 的前身叫做 StarOffice,在 2000 年后被升阳公司收购,发布成开放原码项目的 OpenOffice.org(缩写为 OOo);接着在 2010 年,升阳又被甲骨文公司收购。
之后甲骨文公司跟开源社交交恶,还把开发者开除,于是社交主力就分裂出名为 LibreOffice(缩写为 LO)的分支项目。之后甲骨文迫于形势,就把 OpenOffice 贡献给 ASF,改名成 Apache OpenOffice(缩写为 AOO),然而社交也已分裂。
然而今年9月份,据负责人 Dennis Hamilton 的一封公开信,由于软件存在诸多安全漏洞,缺乏研发力量继续完善维护,OpenOffice 或即将「退休」。Hamilton 在信中没有明确表示放弃 OpenOffice,但表示了严重的忧虑,放弃维护的可能性相当高。目前的维护团队大概只有 6 名,都是志愿者,有能力并且有意愿的开源贡献者太少了。
CVE-2016-6803: Apache OpenOffice unquoted search path vulnerability
威胁等级:中级
Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作可以触发的不需要的软件安装一个特洛伊木马应用程序的执行。安装程序缺陷被称为"非引用 Windows 搜索路径脆弱性"。在 Apache OpenOffice Windows 的安装程序,电脑必须有以前受感染,使用管理员特权运行特洛伊木马应用程序 (或用户)。任何安装程序与不加引号的搜索路径漏洞成为延迟的触发该漏洞。利用此漏洞可能已经均是基于用户的 PC。
CVE-2016-6804 Apache OpenOfice Advisory
威胁等级:中级
Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作,允许执行任意代码使用提升的权限。在其中运行安装程序的位置可能有先前遭到毒害模拟取决于安装程序的动态链接库文件。假冒是由于安装程序中的搜索路径缺陷而运作的。假冒的经营会OpenOffice 的安装程序,损害用户的 pc 机的行政权限下。
OpenOffice还能走多远?
2000 年,Sun 公司收购 StarOffice 公司时候开源了 OpenOffice,2010 年,Oracle 收购 Sun,LibreOffice 诞生,属于 OpenOffice 的一个分支,由 Document Foundation 维护,贡献者包括一些大公司如 Canonical, Google 和 Red Hat。安全性比 OpenOffice 更优秀,插件功能也更为强大。
原文发布时间:2017年3月24日
本文由:安全加发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/openoffice-vulnerability-cve-2016-6803-cve-2016-6804