В свободном офисном пакете LibreOffice выявлена уязвимость (CVE-2022-3140), позволяющая организовать выполнение произвольных скриптов при клике на специально подготовленную ссылку в документе или при срабатывании определённого события во время работы с документом. Проблема устранена в обновлениях LibreOffice 7.3.6 и 7.4.1...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57910
Отключить скрипты и всё. Верно говорю, пацаны?
Не пользоваться либрой.
Не пользоваться компьютером.
gnumeric и abiword - наш выбор!
Они что-то слишком уж хорошо офис косплеить стали, даже вулны воспроизвели.
Но ведь это же сразу понятно что фича.
Вот и как пользоваться чем-то удобно? Кто-то запилил для удобства, а кто-то гадости этим делает. Как разрешить только невредительскую деятельность? Остаётся только электроды вживлять.
Да, это фича. Например в моей конторе в шаблонах договора есть поля <сумма прописью>. При вводе в них числа - появляется сумма словами. Сделано именно сабжем.
Ура! Семимильными шагами догоняем конкурентов!
Зачем им шарипоинт понадобился?
По работе...
А конкуренты сливаются с облаками.https://www.cnews.ru/news/top/2022-10-13_microsoft_ubivaet_o...
Они пытаются запрыгнуть в уходящий поезд. У меня в окружении все в гугл доках сидят и работают совместно. Я сам много лет уже ничего из локального офиса не открывал. Мне вот так все это видится.
А это не вы недавно истерили, когда некоторые облачные сервисы "ушли" вместе с данными и оплатой?
Наврят ли, я истерикам не подвержен.
Будет очень интересно когда твоих коллег дружно зобанят, или просто дропнут сервис решив что недостаточно профитабельно, как с плюсом :)
Рано или поздно обязательно забанят. Все это знают. Вопрос в том что локальный нафиг никому не вперся, поэтому пользуются тем что удобнее.
Году в 2009 при "быстром старте" новой лавки в такое вляпались, больше не хочу.RMS прав насчёт того, что there's no cloud, just other people's computers.
Выборка на основе тебя и твоего кота (воображаемого)?
>выполнение произвольных скриптов при клике на специально подготовленную ссылку в документеНу так не кликай на эту ссылку, балда.
> Ну так не кликай на эту ссылку, балда.И не подводите мышь к словам, чтобы не сработал обработчик события?
А там OnLoad никакого нет?
> или при срабатывании определённого события во время работы с документом
Этого не может быть - макросы пишут честные программисты.
_Шва6одные_ макросы пишут честные программисты, обратите внимание.
С нешва6одными все плохо и их мы неавтозапускать научились.
Причём абсолютному большинству те макросы даром не нужны. В принципе странно что их поддержка по умолчанию не выключена( кому они нужны - сам без проблем нажмёт на кнопку Включить )
Хочется чего-то простенько повычислять - есть Excel или его подобия, но и там оно тоже без макросов работает. Формулы, условное форматирование и прочие радости
autorun макросы обычно предназначены для тех, кто ниасиливает "сам что-то включить".
> кто ниасиливает "сам что-то включить"И их к сожалению - большинство
Ну им и включают в результате целый рассадник ботнетов.
Это опенсурс макросы и миллионы глаз посмотрят их и увидят, что они неопасные )
No download is available for the requested version 7.3.6.И сайт у них такой что долбануться
В очередной раз openoffice доказал своё тотальное превосходство, ему даже не пришлось ничего для этого делать.
А что, эти макросы не в песочнице выполняются?
Попытался я найти этот патч (или их набор, или багу).
И шо вы таки думаете... не вижу.PS: в смысле и в `git log master` тоже не вижу, и эти CVE/DSA там не упоминаются.
Опять коллаборсионисты?.. (туда же a31b7ea9e62f6d44685aff28e1412eb43b796847)commit fdd8686987ca4ee693f5f194c8eb482daa69cfef
Author: Mike Kaganski <mike.kaganski@collabora.com>
Date: Tue Oct 18 16:02:46 2016 +1000tdf#100837: Register new URI handlers with installer
This patch registers vnd.libreoffice.command unconditionally,
and also registerd ms-word, ms-excel, ms-visio and ms-powerpoint
handlers according to SELECT_WORD, SELECT_EXCEL, SELECT_VISIO, and
SELECT_POWERPOINT properties (that are set in FileTypeDialog).
This allows to use these URIs in e.g. SharePoint WebDAV integration
Change-Id: I3231a15196858da77f1784a47f86f1729a6044bb
Reviewed-on: https://gerrit.libreoffice.org/29988
Tested-by: Jenkins <ci@libreoffice.org>
Reviewed-by: Mike Kaganski <mike.kaganski@collabora.com>
В версии 7.4.2 исправили, а не в 7.4.1.
А опции нет, использовать скрипты только для документов созданных на этом пк ? А для остальных запрос ?
И как ты привяжешь документ к ПК, если все ПК - виртуалки, сделанные клонами, автоматически, что даже MAC адреса могут быть переиспользованы много раз.
> При клике или активации по событию в документе подобные ссылки могут использоваться для запуска скриптов без вывода предупреждения пользователю.удобно!
А чета после обновления при открытии файла exel выскакивает красное предупреждение о смене какогото пароля, нет там никакого пароля, че за фигня ???