OpenOffice快要挂了的东西 居然还有人研究它的漏洞 CVE-2016-6804提权漏洞-阿里云开发者社区

开发者社区> 晚来风急> 正文

OpenOffice快要挂了的东西 居然还有人研究它的漏洞 CVE-2016-6804提权漏洞

简介:
+关注继续查看

Apache OpenOffice出现两个漏洞CVE-2016-6803 CVE-2016-6804,2014年 Apache软件基金会宣布, 开源办公软件Apache OpenOffice下载量突破了一亿次。

OpenOffice是什么

OpenOffice 是开源领域最为知名的办公套件,支持 mac、Windows 以及 Linux 平台,曾被视为微软的有力挑战者。OpenOffice 的前身叫做 StarOffice,在 2000 年后被升阳公司收购,发布成开放原码项目的 OpenOffice.org(缩写为 OOo);接着在 2010 年,升阳又被甲骨文公司收购。

之后甲骨文公司跟开源社交交恶,还把开发者开除,于是社交主力就分裂出名为 LibreOffice(缩写为 LO)的分支项目。之后甲骨文迫于形势,就把 OpenOffice 贡献给 ASF,改名成 Apache OpenOffice(缩写为 AOO),然而社交也已分裂。

然而今年9月份,据负责人 Dennis Hamilton 的一封公开信,由于软件存在诸多安全漏洞,缺乏研发力量继续完善维护,OpenOffice 或即将「退休」。Hamilton 在信中没有明确表示放弃 OpenOffice,但表示了严重的忧虑,放弃维护的可能性相当高。目前的维护团队大概只有 6 名,都是志愿者,有能力并且有意愿的开源贡献者太少了。

CVE-2016-6803: Apache OpenOffice unquoted search path vulnerability

威胁等级:中级

Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作可以触发的不需要的软件安装一个特洛伊木马应用程序的执行。安装程序缺陷被称为"非引用 Windows 搜索路径脆弱性"。在 Apache OpenOffice Windows 的安装程序,电脑必须有以前受感染,使用管理员特权运行特洛伊木马应用程序 (或用户)。任何安装程序与不加引号的搜索路径漏洞成为延迟的触发该漏洞。利用此漏洞可能已经均是基于用户的 PC。

CVE-2016-6804 Apache OpenOfice Advisory

威胁等级:中级

Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作,允许执行任意代码使用提升的权限。在其中运行安装程序的位置可能有先前遭到毒害模拟取决于安装程序的动态链接库文件。假冒是由于安装程序中的搜索路径缺陷而运作的。假冒的经营会OpenOffice 的安装程序,损害用户的 pc 机的行政权限下。

OpenOffice还能走多远?

2000 年,Sun 公司收购 StarOffice 公司时候开源了 OpenOffice,2010 年,Oracle 收购 Sun,LibreOffice 诞生,属于 OpenOffice 的一个分支,由 Document Foundation 维护,贡献者包括一些大公司如 Canonical, Google 和 Red Hat。安全性比 OpenOffice 更优秀,插件功能也更为强大。



原文发布时间:2017年3月24日

本文由:安全加发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/openoffice-vulnerability-cve-2016-6803-cve-2016-6804

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
无影云桌面让你无处不在
云桌面,让你不再为了没有电脑发愁。手把手教你玩通无影~~~
18 0
冬季训练营-从0到1玩转云服务器学习报告记录
从0到1玩转云服务器学习报告记录,搭建云上博客全过程
15 0
教育培训机构使用阿里云无影桌面优缺点
配置灵活,GPU满足设计产品线,价格低廉,随开随用。
10 0
第一期学习报告(Yasso_c)
第一期学习报告(Yasso_c)
16 0
第一期体验印象最深的地方
第一期体验印象最深的地方
16 0
python中循环的技巧
循环的技巧 在字典中循环时,用 items() 方法可同时取出键和对应的值:
7 0
冬季实战营第一期:从零到一上手玩转云服务器全流程
冬季实战营第一期:从零到一上手玩转云服务器
14 0
云起实验室学习报告之LAMP搭建
云起实验室学习报告之LAMP搭建
6 0
云起第一期学习体会(报告)
云起第一期学习体会(报告)
15 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载