OpenOffice快要挂了的东西 居然还有人研究它的漏洞 CVE-2016-6804提权漏洞

Apache OpenOffice出现两个漏洞CVE-2016-6803 CVE-2016-6804,2014年 Apache软件基金会宣布, 开源办公软件Apache OpenOffice下载量突破了一亿次。

OpenOffice是什么

OpenOffice 是开源领域最为知名的办公套件,支持 mac、Windows 以及 Linux 平台,曾被视为微软的有力挑战者。OpenOffice 的前身叫做 StarOffice,在 2000 年后被升阳公司收购,发布成开放原码项目的 OpenOffice.org(缩写为 OOo);接着在 2010 年,升阳又被甲骨文公司收购。

之后甲骨文公司跟开源社交交恶,还把开发者开除,于是社交主力就分裂出名为 LibreOffice(缩写为 LO)的分支项目。之后甲骨文迫于形势,就把 OpenOffice 贡献给 ASF,改名成 Apache OpenOffice(缩写为 AOO),然而社交也已分裂。

然而今年9月份,据负责人 Dennis Hamilton 的一封公开信,由于软件存在诸多安全漏洞,缺乏研发力量继续完善维护,OpenOffice 或即将「退休」。Hamilton 在信中没有明确表示放弃 OpenOffice,但表示了严重的忧虑,放弃维护的可能性相当高。目前的维护团队大概只有 6 名,都是志愿者,有能力并且有意愿的开源贡献者太少了。

CVE-2016-6803: Apache OpenOffice unquoted search path vulnerability

威胁等级:中级

Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作可以触发的不需要的软件安装一个特洛伊木马应用程序的执行。安装程序缺陷被称为"非引用 Windows 搜索路径脆弱性"。在 Apache OpenOffice Windows 的安装程序,电脑必须有以前受感染,使用管理员特权运行特洛伊木马应用程序 (或用户)。任何安装程序与不加引号的搜索路径漏洞成为延迟的触发该漏洞。利用此漏洞可能已经均是基于用户的 PC。

CVE-2016-6804 Apache OpenOfice Advisory

威胁等级:中级

Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作,允许执行任意代码使用提升的权限。在其中运行安装程序的位置可能有先前遭到毒害模拟取决于安装程序的动态链接库文件。假冒是由于安装程序中的搜索路径缺陷而运作的。假冒的经营会OpenOffice 的安装程序,损害用户的 pc 机的行政权限下。

OpenOffice还能走多远?

2000 年,Sun 公司收购 StarOffice 公司时候开源了 OpenOffice,2010 年,Oracle 收购 Sun,LibreOffice 诞生,属于 OpenOffice 的一个分支,由 Document Foundation 维护,贡献者包括一些大公司如 Canonical, Google 和 Red Hat。安全性比 OpenOffice 更优秀,插件功能也更为强大。

原文发布时间:2017年3月24日

本文由:安全加发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/openoffice-vulnerability-cve-2016-6803-cve-2016-6804

时间: 2024-10-22 10:21:10

OpenOffice快要挂了的东西 居然还有人研究它的漏洞 CVE-2016-6804提权漏洞的相关文章

2014年还有人想玩电商么?

不必说京东天猫苏宁的平台大战,也不必说B2C.B2B或者时髦的O2O,更加不必说大佬之间的口水战,互联网评论人士的闲吃萝卜淡操心,只要看看双十一期间数百亿的销售额,只要看看互联网中无处不在的电商平台广告,只要看看电商制造的各种促销噱头,想必谁也经不起这样的诱惑,要试图在电商的浑水里面去摸上一两条鱼.于是乎,本来只够做淘宝集市的资本,也要在天猫.京东里面游一游,本来只够开个网上商店的货源,非得要弄个电商平台试一试.2013年,很多人都在拼电商.拼包括了很多内容,首先应该是插,横插一脚,保证脚先迈进

国内单机游戏市场不景气,为什么还有人做?

过去的一段时间,国内单机游戏市场经历的是一个恶性循环:市场规模不足以吸引投资,于是制作水平停滞不前甚至倒退,而这又导致市场进一步萎缩--这时候能力挽狂澜的是投资者和开发团队想突破瓶颈的决心以及为此付出的努力,是玩家对游戏类型多元化的认可和对市场规则的遵守. 国内单机游戏市场的未来,需要的是在开发者和玩家之间形成一个良性循环.让市场的繁荣促进投资力度和制作水平的增长,让投资力度和制作水平的增长反过来促进市场的繁荣. 国内单机游戏市场不景气,为什么还有人做? 从玩家角度来说,很多玩家,尤其80后(8

最后一家公司转型做社交 还有人在手机上签到吗

LBS败走麦城:最后一家公司转型做社交 还有人在手机上"签到"吗?现在的用户都是在微博.微信上刷存在感.这使得两年前很火的手机地理签到应用LBS(Location Based Service,基于位置的服务)独立模式彻底破灭了.玩转四方.切客.开开和嘀咕陆续黯然退场,中国最早做LBS签到.后来也是仅剩的一家专注LBS签到的公司街旁,也终于转型做社交应用了.曾经被认为是下一个SNS引爆点的LBS应用在中国完成了阶段性使命. 街旁在2013年7月推出5.0版本,新版本通过场景.圈人.贴纸等

超半数人一年内不出手买房为何还有人在抢房

报"黄峰淘房"栏目联手新浪乐居,推出以"武汉房价,不可承受之重"为主题的问卷调查.一个星期里,共有2000多人参与了调查.调查的结论是:泡沫蔓延向整个楼市,首付和月供均不可承受,更多的人被迫观望,一部分人则担心房价继续暴涨,咬牙买下高价房. 六成人一年内不出手 只因首付和月供不能承受 在关于购房者何时出手的调查汇总中,64%的人表示,一年内不出手,其中33.1%打算不买房.为什么呢?一个 网友称,这样的房价根本就买不起.他说,近期在汉口城区看了几个楼盘,价格很多超过

现在还有人考CLP吗?

问题描述 现在还有人考CLP吗? 解决方案 解决方案二:该回复于2014-08-21 10:21:38被版主删除解决方案三:证书在一定层面上还是能说明问题的,有条件就考吧解决方案四:一直在考微软的证,公司要求必须考.好像都比较简单.解决方案五:CLP好像很贵吧?解决方案六:还是有人考的,不过没有以前那么多了,有做notes的公司大多转java,而真正做纯louts的公司少了

还有人对创客这个群体略感陌生

或许还有人对创客这个群体略感陌生,但他们一定听说过长尾理论.<长尾理论>一书的作者刚刚出版了其个人新作<创客:新工业革命>.如今,这股自欧美刮起的创客风潮已经来到中国,并掀起了一股中国创客热. 国内知名媒体搜狐网已经开办了<极客实验室>活动,据该栏目主持人赵梓雯介绍,极客们会接触到很多好玩的产品,其中不乏来自创客的新鲜产品.比如国内创客制造的智能钱包,可以通过手机推送的方式及时提醒钱包主人,这对于钱包防窃有很大的帮助. 联想集团中国区CMO魏江雷认为,创客是一场席卷全球

刚刚还有人说今年的双十一各大电商都没有什么大的声音

刚刚还有人说今年的双十一各大电商都没有什么大的声音,马上来自天猫和京东的大战就来了. 10月29日晚,蓝鲸TMT网爆出猛料称,"准备在双十一看热闹的同志们可以洗洗睡了.听闻天猫在媒体封杀京东!貌似是双11成为天猫的注册商标,京东只能撤换所有的广告.临近双11放这种大招,绝对是蓄谋已久要一举弄死京东啊!"10月30日,京东发言人官方微博发布了一封致全国媒体的公开信,从侧面对此事进行了回应,揭示了天猫与京东等电商围绕双十一之间的暗战. 这封信透露:"某电商企业向全国的媒体们通发了

有人说Docker Hub上三成的镜像包含漏洞?扯吗不是?

本文讲的是有人说Docker Hub上三成的镜像包含漏洞?扯吗不是,[编者的话]到底Docker Hub上是否三成的镜像存在漏洞?通过漏洞计算发现确实有高比例漏洞,对于管方镜像遵循Docker的安全指南,如若是自创建镜像,可找源仓库或自行处理.但我们发现,这些漏洞中大部分是老镜像.面对漏洞镜像,我们可以采取本地措施,还可用Web安全审查进行检查,如果想让Docker更加安全,建议用dockerbench来评估.文中额外阐述了容器究竟有什么用. 这个数字太神奇了!并不是因为这个比例过高或者过低,而

有人说Docker Hub上三成的镜像包含漏洞?是吗?

到底Docker Hub上是否三成的镜像存在漏洞?通过漏洞计算发现确实有高比例漏洞对于官方镜像遵循Docker的安全指南如若是自创建镜像可找源仓库或自行处理.但我们发现这些漏洞中大部分是老镜像.面对漏洞镜像我们可以采取本地措施还可用Web安全审查进行检查如果想让Docker更加安全建议用dockerbench来评估.文中额外阐述了容器究竟有什么用. 这个数字太神奇了!并不是因为这个比例过高或者过低而是因为居然存在这个比例.既然存在(相对容易地)计算出这个比例的可能性也就意味着存在(相对容易地)改